组织 Linux 该基金会与哈佛科学创新实验室合作,编制了新版“第三次普查”研究报告,旨在识别最广泛使用的、需要优先进行安全审计的开源项目。该研究分析了各种企业项目中隐式使用的共享开源代码,这些代码作为依赖项从外部代码库下载。研究共分析了超过12万个开源库,这些库被用于10万家不同公司的应用程序中。
根据收集的统计数据,编制了 500 个最常用库的列表,其安全性和维护质量需要特别注意,因为第三方依赖开发人员的漏洞和妥协可能会抵消所有提高保护的努力。主要产品。总共提供了 8 个列表,其内容根据各种标准进行排名,例如 NPM 存储库中的交付以及确定依赖项时是否存在版本信息。
一些结论:
- NPM 存储库中未出现的前 17 个项目中,有 50% 只有一名开发人员,40% 的项目有一到两名开发人员,他们完成了 80% 的提交。
- 与 2022 年的上一份报告相比,重要软件包中用于与云服务交互的软件包的使用有所增加。
- 项目从 Python 2 到 Python 3 的迁移仍在继续。
- Maven 包继续流行,来自 PIP (Python)、Cargo (Rust) 和 NuGet (.NET) 存储库的包的使用也在不断增长。
- 和以前一样,需要对软件组件使用标准化的命名方案。
- 保护开发者帐户的重要性已经增加。许多最受欢迎的软件包都托管在特定开发人员的帐户下,这些帐户的安全性低于为项目创建的组织的帐户。
- NPM 存储库中 20 个最常用的 JavaScript 包,由应用程序下载,与版本无关:
- 应用程序从非 NPM 存储库下载的 20 个最常用的软件包,且与版本无关:
来源: opennet.ru
