The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"PyPI, Сrates.io, Packagist и Maven подняли вопрос финансирования для сохранения устойчивости инфраструктуры"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"PyPI, Сrates.io, Packagist и Maven подняли вопрос финансирования для сохранения устойчивости инфраструктуры"  +/
Сообщение от opennews (??), 28-Сен-25, 11:09 
Организация OpenSSF (Open Source Security Foundation), созданная для объединения работы представителей индустрии в области повышения безопасности открытого ПО, опубликовала  открытое письмо, которое подписали разработчики репозиториев PyPI, crates.io, Packagist, Open VSX и Maven Central. В письме упомянуты проблемы с сохранением устойчивости инфраструктуры  при нынешних моделях финансирования и использования репозиториев. Последнее время нагрузка на репозитории увеличивается экспоненциально, но рост финансирования работы по сопровождению в лучшем случае  имеет линейный характер. Отмечается, что ситуация с финансированием пока не достигла кризиса, но статус‑кво больше не может сохранятся и наступил критический переломный момент, требующий изменений...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63959

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  –12 +/
Сообщение от нах. (?), 28-Сен-25, 11:21 
Дайте бабла! Пойти работать не предлагать!

Ответить | Правка | Наверх | Cообщить модератору

12. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +1 +/
Сообщение от Аноним (12), 28-Сен-25, 12:02 
Алё, это некоммерческие организации.
Ответить | Правка | Наверх | Cообщить модератору

17. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +1 +/
Сообщение от нах. (?), 28-Сен-25, 12:22 
Йа тоже!

Ответить | Правка | Наверх | Cообщить модератору

23. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  –2 +/
Сообщение от Аноним (23), 28-Сен-25, 12:40 
кому работать? текст новости тобой осилен?
они-то как раз работают, но один с сошкой не прокормит 107 с ложкой.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

29. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +1 +/
Сообщение от Аноним (29), 28-Сен-25, 12:54 
*Шутка про завод*
Ответить | Правка | Наверх | Cообщить модератору

30. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +1 +/
Сообщение от Аноним (30), 28-Сен-25, 12:55 
Меня всегда удивляло, что люди думают будто пословицами и побасенками можно что-то доказать.
- один с сошкой не прокормит 107 с ложкой
- мы все же не поняли, зачем вам миллиард
- одними обещаниями сыт не будешь, от слова халва во рту слаще не станет
- теперь понятно, срочно выделить!
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

38. Скрыто модератором  +/
Сообщение от тоже Анонимemail (ok), 28-Сен-25, 13:07 
Ответить | Правка | Наверх | Cообщить модератору

3. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +8 +/
Сообщение от Карлос Сношайтилис (ok), 28-Сен-25, 11:21 
RateLimeter'ы поставить на скачивание пакетов и проблема решена: для обычного пользователя будет практически незаметно, а комерсы забегают как пауки в банке и первые прибегут за "безлимитными тарифами"
Ответить | Правка | Наверх | Cообщить модератору

18. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от нах. (?), 28-Сен-25, 12:24 
И проблема решена - твоя сборочка постоит до завтра, пока рейтлимит обнулится. А то ты скачал уже пять лефтпадов, это слишком.

А вот у коммерса с парой-тройкой сеточек B еще тех классовых времен - все будет в ажуре и дальше (не хватит - у них и v6 блоков куры не клюют)

Ответить | Правка | Наверх | Cообщить модератору

22. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (22), 28-Сен-25, 12:33 
Рейтлимит на аккаунт?
Ответить | Правка | Наверх | Cообщить модератору

33. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (30), 28-Сен-25, 12:58 
А какаунт привязать к паспорту с верификацией личности и справкой от священника! Опенсорс, который мы заслужили
Ответить | Правка | Наверх | Cообщить модератору

41. Скрыто модератором  +/
Сообщение от да да я (?), 28-Сен-25, 13:14 
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

27. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +1 +/
Сообщение от Морская Кукарача (?), 28-Сен-25, 12:51 
А если ещё платить из этих денег хотя бы 2% авторам пакета...
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

5. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (30), 28-Сен-25, 11:30 
За инфраструктуру никто платить не будет никогда. Финансирование надо искать не на инфру, а продавать платные продукты, подписки и прочие ништяки, имеющие добавленную стоимость. А уже с этих денег финансировать инфру. Азы бизнеса для дошколят.
Ответить | Правка | Наверх | Cообщить модератору

19. Скрыто модератором  +/
Сообщение от анони (?), 28-Сен-25, 12:25 
Ответить | Правка | Наверх | Cообщить модератору

20. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от нах. (?), 28-Сен-25, 12:25 
Вот они и начнут сейчас продавать доступ к репо по подписке. А чо, дело-то благое, а то ж так есть хочется что переночевать негде. А ты - "паразит", на халяву хочешь свой лефтпад!

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

24. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (30), 28-Сен-25, 12:40 
Не будут люди покупать подписку на репо, это полный бред. Как введут - на следующий же день все перелезут на форк. Надо продавать продукт, а не инфру. Когда ты идешь в ресторан - ты платишь за кухню и подачу, а не за кило картошки и тарелки.
Ответить | Правка | Наверх | Cообщить модератору

31. Скрыто модератором  +/
Сообщение от Аноним (29), 28-Сен-25, 12:55 
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

40. Скрыто модератором  +/
Сообщение от Аноним (40), 28-Сен-25, 13:13 
Ответить | Правка | Наверх | Cообщить модератору

6. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +1 +/
Сообщение от Аноним (6), 28-Сен-25, 11:39 
Срочно придумать жопель для репозиториев, а то инфраструктурой не делятся негодяи, а безопасники кушать хотят. Да здравствует вареза вкус всегда настоящий.
Ответить | Правка | Наверх | Cообщить модератору

7. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +1 +/
Сообщение от Аноним (7), 28-Сен-25, 11:39 
Сделать платно для проектов имеющих коммерческую составляющую. Оставить как есть только для открытых и бесплатных проектов. Как оно раньше и было.
Ответить | Правка | Наверх | Cообщить модератору

9. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (9), 28-Сен-25, 11:48 
Некорпоративно мыслишь.  
Ответить | Правка | Наверх | Cообщить модератору

25. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +1 +/
Сообщение от Аноним (30), 28-Сен-25, 12:42 
Каким образом ты отделишь одних от других? По паспорту?
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

8. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (9), 28-Сен-25, 11:47 
Надо было так "Внезапно" подняли вопрос. Да этого конечно же было непонятно что они начнут шантажировать сообщество.
Ответить | Правка | Наверх | Cообщить модератору

34. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (29), 28-Сен-25, 12:58 
Никаких признаков шантажа здесь не вижу.
Ответить | Правка | Наверх | Cообщить модератору

46. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (46), 28-Сен-25, 13:24 
Так это всё делалось ради продажи Майкрософту (или иному крупному покупателю) вот именно ради этого самого в том числе (думаешь лимоны и лярды просто так отсыпают за красивый логотип?)
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

10. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (10), 28-Сен-25, 11:53 
Хостят всякие leftpad'ы а потом плачут дайте денег. Пусть введут патную подписку а кто не хочет платить пусть качает с github или сайта разработчика как было всегда
Ответить | Правка | Наверх | Cообщить модератору

16. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  –1 +/
Сообщение от Аноним (6), 28-Сен-25, 12:20 
Вам даже в статье про ИИ написали,но вы упорно не видите перспектив. ВВедут платную подписку для любителей ИИ ассистентов и норм.Сэкономишь на кодере,но заплатишь за репозитории.D Комерсы в отличии от сообщества более реалистичные.
Ответить | Правка | Наверх | Cообщить модератору

13. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Голдер и Рита (?), 28-Сен-25, 12:02 
> коммерческие компании

Ооо, эти давно обнаглели, странно, что только сейчас подняли этот вопрос на обсуждение. 😕

Ответить | Правка | Наверх | Cообщить модератору

14. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (14), 28-Сен-25, 12:06 
А что они хотели? Современному условному "программисту" чихать на оптимизацию своего продукта. Но никаких разумных ограничений по потреблению ресурсов. Никакой экономии. Таково поколение современных "программистов". Можно только задаваться вопросом, кто виноват в этом, кто из вырастил таких вот и вот так вот воспитал? Но от этого они не изменятся и оптимизацией они не займутся. Нужно ждать нового поколения. Растить. Воспитывать. Но это уже не наши современники.
Ответить | Правка | Наверх | Cообщить модератору

15. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Голдер и Рита (?), 28-Сен-25, 12:10 
> кто виноват в этом, кто из вырастил таких вот и вот так вот воспитал?

Так коммерческие компании и виноваты, они их породили…

Ответить | Правка | Наверх | Cообщить модератору

32. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Незнакомка (?), 28-Сен-25, 12:56 
А потом тебя отчитывают за «ненужную» оптимизацию, на которую ты потратил время. Коммерческий софт - это абсолютно костыльное г…но, любое и везде без исключения.

Никому нафиг не уперлась твоя «оптимизация». Программисты делают то, что им скажут и так как им скажут. Да, уровень программистов очень низкий. Но это идеально ложится на то что от них требуют.

Сначала нужно решить эту проблему, и только потом смотрели в сторону программистов (корпы хотят, но программисты не могут)

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

35. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (30), 28-Сен-25, 13:01 
Рыночек порешал любителей потрындеть про оптимизацию - теперь они занимаются оптимизацией количества нытья на форумах и отыгрышем в голове воспитывания поколений. А бездуховные грязные бумажки отдают тем, кто вместо трындежа дает результат. Кошмар, да?
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

43. Скрыто модератором  +/
Сообщение от Savaoff (?), 28-Сен-25, 13:18 
Ответить | Правка | Наверх | Cообщить модератору

45. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (40), 28-Сен-25, 13:20 
Вы предлагаете за перерасход денежных средств менеджеру отвечать перед начальством, а вы код будите вылизывать?! Нет уж, привыкай технарь и не забывай про скорость разработки.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

21. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  –2 +/
Сообщение от Аноним (46), 28-Сен-25, 12:32 
Даю идею для финансирования.

1. Требуем FIDO2, пароли и TOTP - запрещаем.
2. Требуем аттестацию.
3. Требуем не просто аттестацию FIDO2, а аттестацию конкретных вендоров. pypi имеет свой реестр публичных ключей для аттестации. За внесение в реестр требуем денежку пропорционально количеству привязанных устройств, аттестованных этим ключогм. Правила одни для всех, и для вендоров, и для физлиц:

1. по умолчанию для всех устройств c с аттестационным ключом k есть количество "бензина" gas[k] = 0;
2. есть страница оплаты, на которой можно увеличить количество "бензина" для конкретного ключа. Никаких аккаунтов, просто инфа для аттестационного реестра и инфа для оплаты. Оплата принимается от кого угодно, проверка принадлежности аттестационного ключа оплачивающему лицу не проводится. Деньги не возвращаются в принципе. При возврате денег со стороны платёжной системы количество "бензина" откатывается.
3. Каждый день количество "бензина" декрементируется на количество зареганных устройств с этой аттестацией.
5. Когда количество "бензина" становится меньше порога, регистрации через данные устройства прекращаются.
6. Когда количество "бензина" становится равным нулю, входы через данные устройства прекращаются.
7. Так как возиться с аттестацией на самодельных устройствах имеет смысл только если эти самоделки делаются на организацию, а также в целях разрешения входа тем, за кого вендор не заплатил, предусмотрен альтернативный механизм с оплатой за каждый аутентифкатор владельцем этого аутентификатора. Опять же никаких персональных данных, простая страница "вставь ауутентификатор, нажми на кнопку, и оплати". Механизмы с аттестацией применимы только для не оплаченных самостоятельно аутентификаторов.


Ответить | Правка | Наверх | Cообщить модератору

28. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (46), 28-Сен-25, 12:54 
Это, кстати, универсальный механизм энфорсинга per-user DRM-копирастии для реализации подписки на софт. Читали "Право читать" Столлмана? Вот, оно самое. Всё нижеперечисленное очевидно, но многие пользователи opennet этого не осознают.

а) Обычная реализация TEE-DRM:

1. Дропаются все устройства без считающегося достаточно доверенным для вендора копирастии TEE
2. Программа разделяется на несколько частей: загрузчик, анклавы, и главный анклав. Анклавы содержать не особо критические части, их как можно больше, и они как можно более изолированы друг от друга. Главный анклав содержит ключевой код и данные, без которого всё сломается.
3. Каждая часть загоняется в анклав.
4. Каждый анклав содержит загрузчик, который по сети качает код и ресурсы этого анклава после прохождения удаленной аттестации, и сохраняет на диск. Главный анклав данные с кртическими частями на диск не сохраняет, качает каждый раз. Замечание: при сохранении на диск данные запечатываются, расшифровать их может только анклав в начальном состоянии, эквивалентном тому, в котором он эти данные по сети скачал, пройдя удаленную аттестацию. Это энфорсится двумя вещами: аппаратура и подписанные прошивки это энфорсят локально, а вендор софта это энфорсит тем, что каждое устройство, которое вендор процессора произвёл, имеет уникальную пару ключей, который вендор процессора занёс в свою базу. Вендор софта просто делает запрос к базе ендора, и вендор говорит "да, это устройство сошло с моего завода, имеет всю нужную аппаратуру, и протестировано" или "нет, это вообще не пойми кого устройство". Можно отслеживать, в какие страны какие устройства поставили, и в случае чего просто отвечать "первый раз слышу об этом устройстве".

б) реализация подписки - софт в анклаве требует FIDO2-аутентификатор, общается с сервером. Каждый анклав. Только некритические части переходят на ветвь где данные с диска в память не грузятся, а критическая вообще от сервера не получит критический пакет данных, нужный каждый раз.

Ответить | Правка | Наверх | Cообщить модератору

37. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (46), 28-Сен-25, 13:05 
Собственно, именно ради этого M$ всё это насаждает:

1. TEE на всех системах с Windows 11 либо через Pluton в процессорах AMD (тот самый "TPM 2.0" для винды 11), либо через реализации TEE от Intel (а там их ворох, сначала были TXT, потом SGX, а потом, когда AMD за основу решил всё же взять изолированные виртуалки, Intel опять вернулся к идее и запилил TDX).
2. Биометрический аутентификатор Windows Hello

==>

Комбо, винда становится Premium-платформой вроде Apple, можно требовать оплаты с каждого пользователя, оплатить лицензию для одного сотрудника, а дальше юзать всем офисом на одном ноуте не очень получится (вернее в принципе получится, hello ведь проверяет эпизодически, ничего не мешает сделать должность зицпредседателя, чья обязанность - ходить по офису и светить мордой в вебки, но это контрится на уровне анклавов - в анклав можно запихнуть протенькую опенсорсную биометрическую, сравнивающую лицо перед монитором на нескольких соседних кадрах друг с другом, в случае сомнений - Hello!).

Ответить | Правка | Наверх | Cообщить модератору

39. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (46), 28-Сен-25, 13:08 
Что с лицом,

> За 5 лет использования аппаратного FIDO токена убедился, что это примерно в 10 тысяч раз удобнее чем ввод кодов с телефона.

, почему такое минусовое выражение, что даже Hello-проверка не проходит?

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

26. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (26), 28-Сен-25, 12:43 
Даешь капчу при скачивании пакета!!!
Ответить | Правка | Наверх | Cообщить модератору

36. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (36), 28-Сен-25, 13:03 
На каждый пакет, надеюсь?
Не так давно библиотечку на Rust компилил, строк на 250, так cargo столько всякого добра накачал, что я слегка офигел...
Ответить | Правка | Наверх | Cообщить модератору

42. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Голдер и Рита (?), 28-Сен-25, 13:16 
Сейчас с помощью Agentic Vision Language Model (AVLM) капча решается на раз–два. 🤖👾🫠
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

44. "PyPI, Сrates.io, Packagist и Maven подняли вопрос финансиров..."  +/
Сообщение от Аноним (46), 28-Сен-25, 13:19 
Приведите конкретную ссылку на то, что вы имеете в виду. Я имею в виду статью + huggingface, а не сервис для распознавания капчи.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру