Исследование показало стремительный рост облачных библиотек и критические риски устаревших технологий.
Компоненты с открытым исходным кодом (FOSS) используются в большинстве современных приложений. Это следует из отчёта Для просмотра ссылки Войдиили Зарегистрируйся , подготовленного Гарвардской школой бизнеса и Лабораторией научных инноваций Гарварда совместно с Linux Foundation Research и OpenSSF .
Исследование охватило более 12 миллионов наблюдений использования FOSS в 10 000 компаниях. В анализе использованы данные автоматизированных сканирований кодовых баз и ручных проверок, что позволило изучить как прямое использование пакетов, так и их зависимости в цепочке поставок программного обеспечения.
Согласно данным отчёта, 96% кодовых баз содержат компоненты с открытым исходным кодом. Особенно заметен рост использования библиотек, адаптированных для облачных сервисов. Если ранее подходы сводились к переносу существующего ПО в облако, то теперь решения разрабатываются с учётом облачной инфраструктуры и её возможностей.
Авторы обращают внимание на риски, связанные с высокой концентрацией ответственности. 40% ведущих проектов зависят от одного-двух разработчиков, на которых приходится более 80% всех вкладов. Это создаёт угрозу безопасности и устойчивости таких проектов. Примером является инцидент с пакетом XZ Utils, где злоумышленники внедрили вредоносный код через нового мейнтейнера, добавленного с помощью социальной инженерии.
В отчёте также выделена проблема продолжительного использования устаревших технологий. Python 2, несмотря на выпуск Python 3 16 лет назад, по-прежнему используется в 20–30% случаев в отдельных секторах, что увеличивает риски безопасности. Эксперты подчёркивают, что упрощение процесса обновления и обеспечение полной обратной совместимости могут ускорить переход на новые версии.
Рост популярности языка Rust на 500% с момента предыдущего отчёта свидетельствует об усилении интереса к решениям, повышающим безопасность памяти. Однако отсутствие стандартизации в именовании программных компонентов увеличивает риски безопасности, что остаётся одной из ключевых проблем.
Инициативы OpenSSF, такие как SLSA и Sigstore, направлены на улучшение доверия к процессам сборки и распространения программного обеспечения. Эти проекты помогают гарантировать, что код, используемый в продуктах, соответствует исходному проверенному коду.
Отчёт «Census III» отражает значительные изменения в использовании FOSS и подчёркивает необходимость новых подходов к обеспечению устойчивости и безопасности в этой области.
Компоненты с открытым исходным кодом (FOSS) используются в большинстве современных приложений. Это следует из отчёта Для просмотра ссылки Войди
Исследование охватило более 12 миллионов наблюдений использования FOSS в 10 000 компаниях. В анализе использованы данные автоматизированных сканирований кодовых баз и ручных проверок, что позволило изучить как прямое использование пакетов, так и их зависимости в цепочке поставок программного обеспечения.
Согласно данным отчёта, 96% кодовых баз содержат компоненты с открытым исходным кодом. Особенно заметен рост использования библиотек, адаптированных для облачных сервисов. Если ранее подходы сводились к переносу существующего ПО в облако, то теперь решения разрабатываются с учётом облачной инфраструктуры и её возможностей.
Авторы обращают внимание на риски, связанные с высокой концентрацией ответственности. 40% ведущих проектов зависят от одного-двух разработчиков, на которых приходится более 80% всех вкладов. Это создаёт угрозу безопасности и устойчивости таких проектов. Примером является инцидент с пакетом XZ Utils, где злоумышленники внедрили вредоносный код через нового мейнтейнера, добавленного с помощью социальной инженерии.
В отчёте также выделена проблема продолжительного использования устаревших технологий. Python 2, несмотря на выпуск Python 3 16 лет назад, по-прежнему используется в 20–30% случаев в отдельных секторах, что увеличивает риски безопасности. Эксперты подчёркивают, что упрощение процесса обновления и обеспечение полной обратной совместимости могут ускорить переход на новые версии.
Рост популярности языка Rust на 500% с момента предыдущего отчёта свидетельствует об усилении интереса к решениям, повышающим безопасность памяти. Однако отсутствие стандартизации в именовании программных компонентов увеличивает риски безопасности, что остаётся одной из ключевых проблем.
Инициативы OpenSSF, такие как SLSA и Sigstore, направлены на улучшение доверия к процессам сборки и распространения программного обеспечения. Эти проекты помогают гарантировать, что код, используемый в продуктах, соответствует исходному проверенному коду.
Отчёт «Census III» отражает значительные изменения в использовании FOSS и подчёркивает необходимость новых подходов к обеспечению устойчивости и безопасности в этой области.
- Источник новости
- www.securitylab.ru