Майкл Уинсер (Michael Winser), сооснователь фонда Alpha-Omega, созданного при содействии OpenSSF для повышения безопасности открытого ПО, опубликовал результаты аудита финансового состояния крупнейших каталогов пакетов — PyPI (Python), npm (Node.js), Crates.io (Rust), RubyGems и Maven Central (Java). Выводы оказались тревожными: при экспоненциальном росте числа загрузок и объёма хранимых данных финансирование каталогов практически не растёт.

Основной статьёй расходов оказалась пропускная способность каналов связи — около 25% бюджета. Далее следуют хранение данных (18%), вычислительные мощности (15%) и борьба с вредоносными пакетами (12%). На разработку новой функциональности приходится лишь 2% средств, а документирование и вовсе не вошло в первую десятку статей расходов.

По оценке Уинсера, содержание каталога масштаба Crates.io (около 125 миллиардов загрузок в год) обходится в $5–8 млн ежегодно, причём без учёта безвозмездно предоставляемых ресурсов — например, сеть доставки содержимого Fastly обслуживает трафик Crates.io бесплатно. Для PyPI, обслуживающего более 700 тысяч пакетов с суммарным трафиком порядка 747 петабайт в год (189 Гбит/с), одна лишь оплата полосы пропускания без спонсорства Fastly составила бы около $1,8 млн в месяц.

Особую обеспокоенность вызывает рост числа вредоносных пакетов, в том числе создаваемых с помощью средств генеративного искусственного интеллекта. Медианное время от публикации вредоносного пакета до его удаления составляет 39 часов — более чем достаточно для распространения по цепочке зависимостей. В сентябре 2025 года данная проблема проявилась на практике: самораспространяющийся червь Shai-Hulud поразил экосистему npm.

Очевидное решение — введение платы за загрузку — сопряжено с трудностями. Как только каталог начнёт взимать плату, неизбежно появятся сторонние зеркала, предлагающие пакеты бесплатно, что подорвёт контроль за вредоносным содержимым и приведёт к фрагментации экосистемы. При этом, как отметил Уинсер, каталоги фактически являются естественными монополиями — им принадлежит пространство имён, — однако стоимость создания альтернативного каталога стремится к нулю, что делает это положение неустойчивым.

Ситуацию называют «тихой катастрофой»: в отличие от громких инцидентов наподобие компрометации XZ Utils, недофинансирование каталогов создаёт системный риск для всей цепочки поставок программного обеспечения.