開(kāi)源軟件普查：96% 代碼庫(kù)依賴(lài)開(kāi)源組件

IT之家 12 月 6 日消息，根據(jù)最新發(fā)布的第三次自由和開(kāi)源軟件（FOSS）普查報(bào)告顯示，開(kāi)源組件已成為現(xiàn)代應(yīng)用的基石，96% 的代碼庫(kù)中存在開(kāi)源組件。

報(bào)告簡(jiǎn)介

IT之家注：該報(bào)告全稱(chēng)為《Census III of Free and Open Source Software》，由哈佛商學(xué)院、哈佛大學(xué)創(chuàng)新科學(xué)實(shí)驗(yàn)室（LISH）、Linux 基金年研究部以及開(kāi)源安全基金會(huì)（OpenSSF）聯(lián)合發(fā)布。

該研究建立在前兩次普查的基礎(chǔ)上，不再局限于操作系統(tǒng)庫(kù)，而是考察構(gòu)成現(xiàn)代軟件基石的應(yīng)用程序級(jí)組件。

本次報(bào)告分析了超過(guò) 1 萬(wàn)家公司、1200 萬(wàn)條 FOSS 使用數(shù)據(jù)，哈佛大學(xué)-Linux 基金會(huì)研究團(tuán)隊(duì)還和 FOSSA、Snyk、Sonatype 和 Synopsis 等軟件成分分析（SCA）公司合作，整合了來(lái)自多個(gè)平臺(tái)的匿名數(shù)據(jù)。

分析內(nèi)容包括對(duì)生產(chǎn)代碼庫(kù)的自動(dòng)掃描和對(duì)軟件組件的全面人工審計(jì)，從而深入了解 FOSS 軟件包的直接使用情況及其在整個(gè)軟件供應(yīng)鏈中的間接依賴(lài)關(guān)系。

報(bào)告內(nèi)容：

研究發(fā)現(xiàn)，96% 的代碼庫(kù)包含開(kāi)源組件，凸顯了開(kāi)源軟件在當(dāng)今數(shù)字經(jīng)濟(jì)中的核心地位。

報(bào)告還指出，云服務(wù)專(zhuān)用軟件包的使用量顯著增長(zhǎng)。OpenSSF 的開(kāi)源供應(yīng)鏈安全總監(jiān) David Wheeler 認(rèn)為，這表明軟件開(kāi)發(fā)模式正從“直接遷移”轉(zhuǎn)向“云原生開(kāi)發(fā)”，即專(zhuān)門(mén)為云環(huán)境和特定云服務(wù)構(gòu)建應(yīng)用。

報(bào)告揭示了一些潛在的安全風(fēng)險(xiǎn)：

• 行業(yè)內(nèi)仍廣泛使用過(guò)時(shí)的 Python 2，部分行業(yè)占比高達(dá) 20-30%。

• 40% 的頂級(jí)開(kāi)源項(xiàng)目?jī)H由一兩位開(kāi)發(fā)者維護(hù)，例如 XZ Utils 事件暴露了單一維護(hù)者項(xiàng)目易受社會(huì)工程學(xué)攻擊的風(fēng)險(xiǎn)。

• 軟件組件缺乏標(biāo)準(zhǔn)化命名也增加了安全風(fēng)險(xiǎn)。

OpenSSF 為了應(yīng)對(duì)這些挑戰(zhàn)，正致力于強(qiáng)化構(gòu)建和分發(fā)流程，例如通過(guò) SLSA 和 Sigstore 項(xiàng)目確保代碼安全，同時(shí)報(bào)告也建議開(kāi)發(fā)者簡(jiǎn)化版本更新流程，并優(yōu)先考慮向后兼容性，以降低安全風(fēng)險(xiǎn)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。