哈佛大学创新科学实验室(LISH)和开源安全基金会(OpenSSF)联合发布了迄今为止最全面的 FOSS 软件包普查。这是针对 FOSS 使用情况的第二次普查,基于来自合作伙伴软件组合分析(SCA)公司的数据;该数据由 Snyk、Synopsys 网络安全研究中心(CyRC)和 FOSSA 提供。汇总的数据包括在数千家公司的生产应用中使用的 50 多万个 FOSS 库,报告旨在阐明在应用库层面最常用的 FOSS 包,此外还有助于保护这些项目。
“FOSS 已成为现代经济的重要组成部分。FOSS 项目数以千万计,其中许多都存在于我们每天使用的软件和产品中。然而鉴于 FOSS 是以分散和分布式的方式产生,因此很难充分了解其健康、经济价值和安全性。”
本次普查将 500 个最常用的 FOSS 软件包分成八个不同的领域。其中包含不同的数据切片,包括 versioned/version-agnostic、npm/non-npm 包管理器、以及直接/直接和间接软件包调用。例如,被直接调用的前 10 个 version-agnostic 的 npm JavaScript 包是:
- lodash
- react
- axios
- debug
- @babel/core
- express
- semver
- uuid
- react-dom
- jquery
以上这些以及其他顶级库都需要密切关注是否存在任何安全问题。报告指出,这些列表“代表了我们对不同应用程序使用最广泛的 FOSS 软件包的最佳估计,因为时间有限,我们汇总了广泛但并非详尽的数据。”
研究人员希望通过提高对最常用的开源软件包的认识,可以帮助防止下一个 Log4j 或 Heartbleed 漏洞的发生。报告的作者兼哈佛商学院助理教授 Frank Nagle 表示,“希望下一个 Log4j 出现在我们的名单上,我们可以在严重问题出现之前解决它。”
报告作者希望,通过识别"critical FOSS packages",它可以帮助刺激开发人员和最终用户分享数据、投资和协调努力,以保护通常由一小群志愿开发人员维护的关键开源项目的安全。
报告还得出了五个总体发现:
- 需要为软件组件提供更标准化的命名模式。
- 包版本控制仍然存在严重的复杂性。
- 大多数使用最广泛的 FOSS 都是由少数贡献者开发的。
- 个人开发者帐户的安全性变得越来越重要。
- 开源空间中的遗留软件仍然存在。
报告总结称:“这次普查工作远非关键 FOSS 项目的最终结论,它代表了关于如何确定重要软件包并确保它们获得足够资源和支持的更广泛对话的开始。”
完整报告地址
本文转自OSCHINA
本文标题:FOSS 普查:认识最常用的开源软件包,预防下一个 Log4j 漏洞
本文地址:https://www.oschina.net/news/185319/census-ii-foss-application-libraries