منظمة Linux أعدّت المؤسسة، بالتعاون مع مختبر الابتكار العلمي بجامعة هارفارد، نسخةً جديدةً من دراسة "التعداد الثالث"، التي تهدف إلى تحديد مشاريع المصادر المفتوحة الأكثر استخدامًا والتي تتطلب عمليات تدقيق أمني ذات أولوية. حللت الدراسة شفرة المصادر المفتوحة المشتركة المستخدمة ضمنيًا في مشاريع الشركات المختلفة كملفات تابعة يتم تنزيلها من مستودعات خارجية. في المجمل، تم تحليل أكثر من 12 مليون مكتبة مفتوحة المصدر مستخدمة في تطبيقات تستخدمها 10 شركة مختلفة.
استنادًا إلى الإحصائيات التي تم جمعها، تم تجميع قوائم بالمكتبات الـ 500 الأكثر استخدامًا، والتي يتطلب أمانها وجودة صيانتها اهتمامًا خاصًا، نظرًا لأن نقاط الضعف والتسويات التي يتعرض لها مطورو تبعيات الطرف الثالث يمكن أن تلغي جميع الجهود المبذولة لتحسين حماية المكتبة. المنتج الرئيسي. يتم تقديم إجمالي 8 قوائم، يتم تصنيف محتوياتها وفقًا لمعايير مختلفة، مثل التسليم في مستودع NPM ووجود معلومات الإصدار عند تحديد التبعيات.
بعض الاستنتاجات:
- 17% من أفضل 50 مشروعًا غير ممثلة في مستودع NPM لديها مطور واحد فقط، و40% لديها مطور واحد أو اثنان قاما بـ 80% من الالتزامات.
- ومقارنة بالتقرير الأخير لعام 2022، فقد زاد استخدام الحزم للتفاعل مع الخدمات السحابية بين الحزم المهمة.
- يستمر ترحيل المشاريع من Python 2 إلى Python 3.
- لا تزال حزم Maven شائعة ويتزايد استخدام الحزم من مستودعات PIP (Python) وCargo (Rust) وNuGet (.NET).
- كما كان من قبل، هناك حاجة لاستخدام أنظمة تسمية موحدة لمكونات البرامج.
- لقد زادت أهمية حماية حسابات المطورين. تتم استضافة العديد من الحزم الأكثر شيوعًا ضمن حسابات مطورين محددين، وهي أقل أمانًا من حسابات المؤسسات التي تم إنشاؤها للمشروع.
- حزم JavaScript العشرة الأكثر استخدامًا من مستودع NPM، والتي تم تنزيلها بواسطة التطبيقات دون الارتباط بالإصدار:
- الحزم العشرين الأكثر استخدامًا من المستودعات غير التابعة لـ NPM والتي تم تنزيلها بواسطة التطبيقات دون ربطها بإصدار:
المصدر: opennet.ru
