哈佛大学创新科学实验室(LISH)和开源安全基金会(OpenSSF)发布了迄今为止最全面的FOSS包普查。这是基于合作伙伴软件组合分析(SCA)公司的数据对FOSS使用情况进行的第二次普查;数据由Snyk、Synopsys网络安全研究中心(CyRC)和FOSSA提供。汇总数据包括在数千家公司的生产应用程序中使用的超过500,000个FOSS库,该报告旨在阐明应用程序库级别最常用的FOSS包,并帮助保护这些项目。“FOSS已成为现代经济的重要组成部分。FOSS项目有数千万个,其中很多都存在于我们每天使用的软件和产品中。然而,鉴于创建FOSS的去中心化和分布式方式,很难全面了解它们的健康、经济价值和安全性。”该调查将500个最常用的FOSS软件包分为八个不同的领域。它包含不同的数据切片,包括版本化/版本无关,npm/非npm包管理器,以及直接/直接和间接包调用。例如,直接调用的前10个版本无关的npmJavaScript包是:lodashreactaxiosdebug@babel/coreexpresssemveruuidreact-domjquery需要密切关注这些和其他顶级库的任何安全问题。报告指出,这些列表“代表了我们对不同应用程序最广泛使用的FOSS包的最佳估计,因为时间有限,我们汇总了广泛但并不详尽数据。”包意识可以帮助防止下一个Log4j或Heartbleed漏洞的发生。报告作者和哈佛商学院助理教授ssorFrankNagle说,“希望下一个Log4j在我们的名单上,我们可以在它成为一个严重的问题之前修复它。”报告作者希望通过识别“关键的FOSS包”,它可以帮助刺激开发人员和最终用户分享数据、投资和协调努力,以保护通常由一小群志愿开发人员维护的关键开源项目。该报告还提出了五个总体发现:需要为软件组件制定更标准化的命名方案。包版本控制仍然存在严重的并发症。大多数最广泛使用的FOSS都是由少数贡献者开发的。个人开发者账户的安全变得越来越重要。开源空间中的遗留软件仍然存在。报告总结道:“这项普查工作远非关键FOSS项目的最终定论,而是代表了关于如何识别重要软件包并确保它们获得足够资源和支持的更广泛对话的开始。”完整报告网址本文转自OSCHINA文章标题:源码普查:了解最常用的开源软件包,防范下一个Log4j漏洞本文地址:https://www.oschina.net/news/185319/census-ii-foss-应用程序库
