Képek: Flickr, Picserver
A 2008-ban alapított marylandi Sonatype a szoftver ellátási lánc kezelésével foglalkozó vállalat. OSS Indexe a nyílt forráskódú komponensek és eszközök ingyenes katalógusa fejlesztőknek segít rések azonosításában, kockázatok feltárásában és szoftvereik biztonságának megőrzésében. Évente adnak ki elemzéseket nyílt forrású projektek fenntartásáról, jelenleg a kilencediknél tartanak.
Nem túl bíztató a nyílt forrású szoftverek jelene
Az október harmadikán publikált legújabb anyagból kiderült, hogy ezeknek a projekteknek a fenntartása igen problémás, többségük karbantartása nincs megoldva, míg minden nyolc nyílt forráskódú letöltésből egy ismert kockázatokkal jár (igaz, 96 százalékuknál javított változat is rendelkezésre áll). Közel 1,2 millió nyílt forrású szoftverprojektet vizsgáltak, főként négy nagy ökoszisztémára összpontosítva, és megállapították, hogy csak kb. tizenegy százalékuk aktívan karbantartott, a többi nem.
Az 1176407 projekt adataiból azt is megtudtuk, hogy idén tizennyolc százalékos volt a visszaesés, és mindössze 118028 projektet – szoftvert – tartanak aktívan karban. Jó hír, hogy egyes, 2022-ben elhanyagolt projektekre viszont 2023-ban ismét odafigyelnek.
A négy legfontosabb ökoszisztéma a JavaScript, a Java, a Python és a .NET. Ezeket az NPM, a Maven projektkezelőkel, a PyPl csomagindexszel és a NuGet galériával kezelik. Egyes Go projekteket szintén tanulmányoztak. A fentivel ellentétes tendenciát is észleltek: a 2022-ben karbantartott JavaScript és Java projektek 18,6 százalékával többé már nem foglalkoznak.
A Sonatype megállapította azt is, hogy a folyamatosan és szisztematikusan karbantartott projektek rendszeresen jobban teljesítenek a kritikus területeken, szoftverbiztonsági szempontból jobb eredményeket produkálnak a kevésbé gondosan vagy egyáltalán nem ügyelt rendszereknél.
Tendenciák
A hatvankét oldalas anyag szerzői közös nevezőre hozták a nyilvános és a személyes adatokat, köztük függőségi frissítési mintázatokat is több mint 400 milliárd Maven Central letöltéshez és többezer nyílt forráskódú projekthez. (A Maven Central könyvtár a projektekhez szükséges összes függőséget, például könyvtárfájlokat, beépülő modulokat és más szükséges termékeket is tárol.)
Az anyag 621 mérnökkel végzett felmérés eredményeit, valamint a négy nagy szoftverökoszisztéma biztonsági trendjeit is tartalmazza.
A válaszaók 67 százaléka szerint alkalmazásaik nem támaszkodnak közismerten sebezhető könyvtárakra. Az utóbbi tizenkét hónapban közel tíz százalékuk panaszkodott a nyílt forráskód miatti sebezhetőség által okozott biztonsági résekre, problémákra.
Szervezetek 39 százaléka egy-hét napon belül felfedezi a sebezhetőségeket, 29 százalékuknál viszont egy hétnél tovább tart. A másik véglet, 28 százalék egy napon belül érzékeli a problémát. A problémamegoldás az esetek 39 százalékánál egy hétnél több időt vesz igénybe.
Az utóbbi évben a mesterségesintelligencia- és a gépitanulás-szoftverek vállalati környezetben történő használata 135 százalékkal nőtt. Az elmúlt két évben viszont csökkent a nyílt forráskódú letöltések növekedési üteme.