哈佛大學創新科學實驗室(LISH)和開源安全基金會(OpenSSF)聯合發布了迄今為止最全面的 FOSS 軟件包普查。這是針對 FOSS 使用情況的第二次普查，基于來自合作伙伴軟件組合分析(SCA)公司的數據;該數據由 Snyk、Synopsys 網絡安全研究中心(CyRC)和 FOSSA 提供。匯總的數據包括在數千家公司的生產應用中使用的 50 多萬個 FOSS 庫，報告旨在闡明在應用庫層面最常用的 FOSS 包，此外還有助于保護這些項目。

“FOSS 已成為現代經濟的重要組成部分。FOSS 項目數以千萬計，其中許多都存在于我們每天使用的軟件和產品中。然而鑒于 FOSS 是以分散和分布式的方式產生，因此很難充分了解其健康、經濟價值和安全性。”

本次普查將 500 個最常用的 FOSS 軟件包分成八個不同的領域。其中包含不同的數據切片，包括 versioned/version-agnostic、npm/non-npm 包管理器、以及直接/直接和間接軟件包調用。例如，被直接調用的前 10 個 version-agnostic 的 npm JavaScript 包是：

• lodash
• react
• axios
• debug
• @babel/core
• express
• semver
• uuid
• react-dom
• jquery

以上這些以及其他頂級庫都需要密切關注是否存在任何安全問題。報告指出，這些列表“代表了我們對不同應用程序使用最廣泛的 FOSS 軟件包的最佳估計，因為時間有限，我們匯總了廣泛但并非詳盡的數據。”

研究人員希望通過提高對最常用的開源軟件包的認識，可以幫助防止下一個 Log4j 或 Heartbleed 漏洞的發生。報告的作者兼哈佛商學院助理教授 Frank Nagle 表示，“希望下一個 Log4j 出現在我們的名單上，我們可以在嚴重問題出現之前解決它。”

報告作者希望，通過識別"critical FOSS packages"，它可以幫助刺激開發人員和最終用戶分享數據、投資和協調努力，以保護通常由一小群志愿開發人員維護的關鍵開源項目的安全。

報告還得出了五個總體發現：

• 需要為軟件組件提供更標準化的命名模式。
• 包版本控制仍然存在嚴重的復雜性。
• 大多數使用最廣泛的 FOSS 都是由少數貢獻者開發的。
• 個人開發者帳戶的安全性變得越來越重要。
• 開源空間中的遺留軟件仍然存在。

報告總結稱：“這次普查工作遠非關鍵 FOSS 項目的最終結論，它代表了關于如何確定重要軟件包并確保它們獲得足夠資源和支持的更廣泛對話的開始。”

??完整報告地址??

本文轉自OSCHINA

本文標題：FOSS 普查：認識最常用的開源軟件包，預防下一個 Log4j 漏洞

本文地址：https://www.oschina.net/news/185319/census-ii-foss-application-libraries