Открытый код правит миром: 96% софта использует open source

Census III открытый исходный код безопасность Python Rust OpenSSF Linux Foundation облачные сервисы XZ Utils Гарвард
Открытый код правит миром: 96% софта использует open source
Census III открытый исходный код безопасность Python Rust OpenSSF Linux Foundation облачные сервисы XZ Utils Гарвард

Исследование  показало стремительный рост облачных библиотек и критические риски устаревших технологий.

image

Компоненты с открытым исходным кодом (FOSS) используются в большинстве современных приложений. Это следует из отчёта «Census III» , подготовленного Гарвардской школой бизнеса и Лабораторией научных инноваций Гарварда совместно с Linux Foundation Research и OpenSSF.

Исследование охватило более 12 миллионов наблюдений использования FOSS в 10 000 компаниях. В анализе использованы данные автоматизированных сканирований кодовых баз и ручных проверок, что позволило изучить как прямое использование пакетов, так и их зависимости в цепочке поставок программного обеспечения.

Согласно данным отчёта, 96% кодовых баз содержат компоненты с открытым исходным кодом. Особенно заметен рост использования библиотек, адаптированных для облачных сервисов. Если ранее подходы сводились к переносу существующего ПО в облако, то теперь решения разрабатываются с учётом облачной инфраструктуры и её возможностей.

Авторы обращают внимание на риски, связанные с высокой концентрацией ответственности. 40% ведущих проектов зависят от одного-двух разработчиков, на которых приходится более 80% всех вкладов. Это создаёт угрозу безопасности и устойчивости таких проектов. Примером является инцидент с пакетом XZ Utils, где злоумышленники внедрили вредоносный код через нового мейнтейнера, добавленного с помощью социальной инженерии.

В отчёте также выделена проблема продолжительного использования устаревших технологий. Python 2, несмотря на выпуск Python 3 16 лет назад, по-прежнему используется в 20–30% случаев в отдельных секторах, что увеличивает риски безопасности. Эксперты подчёркивают, что упрощение процесса обновления и обеспечение полной обратной совместимости могут ускорить переход на новые версии.

Рост популярности языка Rust на 500% с момента предыдущего отчёта свидетельствует об усилении интереса к решениям, повышающим безопасность памяти. Однако отсутствие стандартизации в именовании программных компонентов увеличивает риски безопасности, что остаётся одной из ключевых проблем.

Инициативы OpenSSF, такие как SLSA и Sigstore, направлены на улучшение доверия к процессам сборки и распространения программного обеспечения. Эти проекты помогают гарантировать, что код, используемый в продуктах, соответствует исходному проверенному коду.

Отчёт «Census III» отражает значительные изменения в использовании FOSS и подчёркивает необходимость новых подходов к обеспечению устойчивости и безопасности в этой области.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение