- Repositórios de código aberto recebem mais de 10 trilhões de downloads por ano, pressionando sua infraestrutura.
- Grandes registries se organizam para enfrentar o crescimento, unindo líderes como Fundação Linux e parceiros.
- O problema vai além de falta de recursos: também envolve governança, segurança e sustentabilidade operacional.
- Grupo de Sustaining Package Registries criará mecanismos de financiamento, governança e práticas de segurança para manter o fluxo de código.
- As ações visam criar modelos de financiamento estáveis, defesa coletiva, transparência e educação para explicar custos e responsabilidades.
Open-source repositories enfrentam sobrecarga com mais de 10 trilhões de downloads anuais, segundo a Sonatype. Empresas usam esses repositórios como CDNs, o que aumenta a demanda e aperta a infraestrutura. A situação acende riscos para a cadeia de suprimentos de software.
O problema envolve os maiores registros de código, incluindo Maven Central, que concentra grande parte do tráfego. O CTO da Sonatype, Brian Fox, alerta que 82% da demanda vem de apenas 1% dos repositórios, ressaltando a pressão sobre as plataformas comunitárias.
A OpenSSF e executivos de registries destacam que os repositórios não são apenas espelhos de download. Eles figuram na linha de frente da segurança e da disponibilidade de builds de software modernos, ligando bancos, hospitais, nuvens e governos a dependências de código.
Nova estrutura de sustentação
Sob a égide da Linux Foundation, nasce o Grupo de Trabalho Sustaining Package Registries. O objetivo é mapear financiamento, governança e práticas de segurança para manter o fluxo de código conforme o volume de downloads cresce. A iniciativa busca um fórum neutro entre operadores e ecossistema.
A proposta envolve modelos econômicos para custear infraestrutura, governança compartilhada e defesa coletiva contra ameaças. Também visa alinhar políticas e educar a indústria sobre os custos de operação dessas plataformas, já que a ideia de downloads infinitos gratuitos não é realista.
A parceria reúne líderes de registries como Alpha-Omega, Eclipse Foundation, OpenJS Foundation, OpenSSF, Packagist, Python Software Foundation, RubyGems e Rust Foundation. O objetivo é evitar que a dependência de voluntariado prejudique a disponibilidade de serviços críticos.
O que muda para o ecossistema
Especialistas ressaltam que a sustentabilidade dos repositórios depende de financiamento estável, governança clara e práticas de segurança eficientes. A meta é estabelecer diretrizes que todos os registries possam adotar, reduzindo o custo de operação sem comprometer a confiabilidade.
Christopher Robinson, da OpenSSF, sustenta que os registries estão na linha de frente da segurança da cadeia de suprimentos. A cooperação entre organizações é vista como essencial para manter a resiliência diante do aumento de tráfego e de potenciais ataques.
Entre na conversa da comunidade