开源软件普查：96% 代码库依赖开源组件

IT之家 12 月 6 日消息，根据最新发布的第三次自由和开源软件（FOSS）普查报告显示，开源组件已成为现代应用的基石，96% 的代码库中存在开源组件。

报告简介

IT之家注：该报告全称为《Census III of Free and Open Source Software》，由哈佛商学院、哈佛大学创新科学实验室（LISH）、Linux 基金年研究部以及开源安全基金会（OpenSSF）联合发布。

该研究建立在前两次普查的基础上，不再局限于操作系统库，而是考察构成现代软件基石的应用程序级组件。

本次报告分析了超过 1 万家公司、1200 万条 FOSS 使用数据，哈佛大学-Linux 基金会研究团队还和 FOSSA、Snyk、Sonatype 和 Synopsis 等软件成分分析（SCA）公司合作，整合了来自多个平台的匿名数据。

分析内容包括对生产代码库的自动扫描和对软件组件的全面人工审计，从而深入了解 FOSS 软件包的直接使用情况及其在整个软件供应链中的间接依赖关系。

报告内容：

研究发现，96% 的代码库包含开源组件，凸显了开源软件在当今数字经济中的核心地位。

报告还指出，云服务专用软件包的使用量显著增长。OpenSSF 的开源供应链安全总监 David Wheeler 认为，这表明软件开发模式正从“直接迁移”转向“云原生开发”，即专门为云环境和特定云服务构建应用。

报告揭示了一些潜在的安全风险：

• 行业内仍广泛使用过时的 Python 2，部分行业占比高达 20-30%。

• 40% 的顶级开源项目仅由一两位开发者维护，例如 XZ Utils 事件暴露了单一维护者项目易受社会工程学攻击的风险。

• 软件组件缺乏标准化命名也增加了安全风险。

OpenSSF 为了应对这些挑战，正致力于强化构建和分发流程，例如通过 SLSA 和 Sigstore 项目确保代码安全，同时报告也建议开发者简化版本更新流程，并优先考虑向后兼容性，以降低安全风险。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。