開源軟件普查：96% 代碼庫依賴開源組件

IT之家 12 月 6 日消息，根據(jù)最新發(fā)布的第三次自由和開源軟件（FOSS）普查報(bào)告顯示，開源組件已成為現(xiàn)代應(yīng)用的基石，96% 的代碼庫中存在開源組件。

報(bào)告簡介

IT之家注：該報(bào)告全稱為《Census III of Free and Open Source Software》，由哈佛商學(xué)院、哈佛大學(xué)創(chuàng)新科學(xué)實(shí)驗(yàn)室（LISH）、Linux 基金年研究部以及開源安全基金會（OpenSSF）聯(lián)合發(fā)布。

該研究建立在前兩次普查的基礎(chǔ)上，不再局限于操作系統(tǒng)庫，而是考察構(gòu)成現(xiàn)代軟件基石的應(yīng)用程序級組件。

本次報(bào)告分析了超過 1 萬家公司、1200 萬條 FOSS 使用數(shù)據(jù)，哈佛大學(xué)-Linux 基金會研究團(tuán)隊(duì)還和 FOSSA、Snyk、Sonatype 和 Synopsis 等軟件成分分析（SCA）公司合作，整合了來自多個(gè)平臺的匿名數(shù)據(jù)。

分析內(nèi)容包括對生產(chǎn)代碼庫的自動(dòng)掃描和對軟件組件的全面人工審計(jì)，從而深入了解 FOSS 軟件包的直接使用情況及其在整個(gè)軟件供應(yīng)鏈中的間接依賴關(guān)系。

報(bào)告內(nèi)容：

研究發(fā)現(xiàn)，96% 的代碼庫包含開源組件，凸顯了開源軟件在當(dāng)今數(shù)字經(jīng)濟(jì)中的核心地位。

報(bào)告還指出，云服務(wù)專用軟件包的使用量顯著增長。OpenSSF 的開源供應(yīng)鏈安全總監(jiān) David Wheeler 認(rèn)為，這表明軟件開發(fā)模式正從“直接遷移”轉(zhuǎn)向“云原生開發(fā)”，即專門為云環(huán)境和特定云服務(wù)構(gòu)建應(yīng)用。

報(bào)告揭示了一些潛在的安全風(fēng)險(xiǎn)：

• 行業(yè)內(nèi)仍廣泛使用過時(shí)的 Python 2，部分行業(yè)占比高達(dá) 20-30%。

• 40% 的頂級開源項(xiàng)目僅由一兩位開發(fā)者維護(hù)，例如 XZ Utils 事件暴露了單一維護(hù)者項(xiàng)目易受社會工程學(xué)攻擊的風(fēng)險(xiǎn)。

• 軟件組件缺乏標(biāo)準(zhǔn)化命名也增加了安全風(fēng)險(xiǎn)。

OpenSSF 為了應(yīng)對這些挑戰(zhàn)，正致力于強(qiáng)化構(gòu)建和分發(fā)流程，例如通過 SLSA 和 Sigstore 項(xiàng)目確保代碼安全，同時(shí)報(bào)告也建議開發(fā)者簡化版本更新流程，并優(yōu)先考慮向后兼容性，以降低安全風(fēng)險(xiǎn)。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。