Арганізацыя Linux Foundation сумесна з Гарвардскай лабараторыі інавацый у навуцы падрыхтавала новую рэдакцыю даследавання Census III, накіраванага на выяўленне найбольш шырока выкарыстоўваюцца адкрытых праектаў, якія маюць патрэбу ў першачарговым аўдыце бяспекі. У ходзе даследавання праведзены аналіз сумесна выкарыстоўванага адкрытага кода, няяўна прымяняецца ў розных карпаратыўных праектах у форме залежнасцяў, загружаных з знешніх рэпазітароў. Усяго было вывучана больш за 12 млн адкрытых бібліятэк, задзейнічаных у дадатках, якія выкарыстоўваюцца ў 10 тысячах розных кампаній.
На аснове сабранай статыстыкі сфарміраваны спісы з 500 бібліятэк, якія найбольш часта выкарыстоўваюцца, бяспека і якасць суправаджэння якіх патрабуе асаблівай увагі, бо ўразлівасці і кампраметацыя распрацоўшчыкаў іншых залежнасцяў, могуць звесці на нішто ўсе намаганні па ўдасканаленні абароны асноўнага прадукту. Усяго прапанавана 8 спісаў, змесціва ў якіх ранжыравана ў залежнасці ад розных крытэрыяў, такіх як пастаўка ў рэпазітары NPM і наяўнасць інфармацыі аб версіі пры вызначэнні залежнасцяў.
Некаторыя высновы:
- 17% з 50 найболей папулярных праектаў, не прадстаўленых у рэпазітары NPM, маюць толькі аднаго распрацоўніка, а 40% - аднаго або двух распрацоўнікаў, якія здзейснілі 80% коммітаў.
- У параўнанні з мінулай справаздачай ад 2022 года, сярод важных пакетаў павялічылася выкарыстанне пакетаў для ўзаемадзеяння з хмарнымі сэрвісамі.
- Працягваецца перавод праектаў з Python 2 на Python 3.
- Захоўваецца папулярнасць пакетаў Maven і расце выкарыстанне пакетаў з рэпазітароў PIP (Python), Cargo (Rust) і NuGet (.NET).
- Па-ранейшаму назіраецца неабходнасць у выкарыстанні стандартызаваных схем наймення праграмных кампанентаў.
- Узрасла актуальнасць абароны ўліковых запісаў распрацоўшчыкаў. Многія з найбольш запатрабаваных пакетаў размешчаны пад уліковымі запісамі канкрэтных распрацоўшчыкаў, менш абароненых чым уліковыя запісы створаных пад праект арганізацый.
- 20 найболей часта выкарыстоўваных JavaScript-пакетаў з рэпазітара NPM, загружаных прыкладаннямі без прывязкі да версіі:
- 20 найболей часта выкарыстоўваных пакетаў з рэпазітараў, выдатных ад NPM, загружаных прыкладаннямі без прывязкі да версіі:
Крыніца: opennet.ru
