哈佛大學(xué)創(chuàng)新科學(xué)實驗室(LISH)和開源安全基金會(OpenSSF)聯(lián)合發(fā)布了迄今為止最全面的 FOSS 軟件包普查。這是針對 FOSS 使用情況的第二次普查，基于來自合作伙伴軟件組合分析(SCA)公司的數(shù)據(jù);該數(shù)據(jù)由 Snyk、Synopsys 網(wǎng)絡(luò)安全研究中心(CyRC)和 FOSSA 提供。匯總的數(shù)據(jù)包括在數(shù)千家公司的生產(chǎn)應(yīng)用中使用的 50 多萬個 FOSS 庫，報告旨在闡明在應(yīng)用庫層面最常用的 FOSS 包，此外還有助于保護這些項目。

“FOSS 已成為現(xiàn)代經(jīng)濟的重要組成部分。FOSS 項目數(shù)以千萬計，其中許多都存在于我們每天使用的軟件和產(chǎn)品中。然而鑒于 FOSS 是以分散和分布式的方式產(chǎn)生，因此很難充分了解其健康、經(jīng)濟價值和安全性。”

本次普查將 500 個最常用的 FOSS 軟件包分成八個不同的領(lǐng)域。其中包含不同的數(shù)據(jù)切片，包括 versioned/version-agnostic、npm/non-npm 包管理器、以及直接/直接和間接軟件包調(diào)用。例如，被直接調(diào)用的前 10 個 version-agnostic 的 npm JavaScript 包是：

• lodash
• react
• axios
• debug
• @babel/core
• express
• semver
• uuid
• react-dom
• jquery

以上這些以及其他頂級庫都需要密切關(guān)注是否存在任何安全問題。報告指出，這些列表“代表了我們對不同應(yīng)用程序使用最廣泛的 FOSS 軟件包的最佳估計，因為時間有限，我們匯總了廣泛但并非詳盡的數(shù)據(jù)?！?/p>

研究人員希望通過提高對最常用的開源軟件包的認識，可以幫助防止下一個 Log4j 或 Heartbleed 漏洞的發(fā)生。報告的作者兼哈佛商學(xué)院助理教授 Frank Nagle 表示，“希望下一個 Log4j 出現(xiàn)在我們的名單上，我們可以在嚴重問題出現(xiàn)之前解決它?！?/p>

報告作者希望，通過識別"critical FOSS packages"，它可以幫助刺激開發(fā)人員和最終用戶分享數(shù)據(jù)、投資和協(xié)調(diào)努力，以保護通常由一小群志愿開發(fā)人員維護的關(guān)鍵開源項目的安全。

報告還得出了五個總體發(fā)現(xiàn)：

• 需要為軟件組件提供更標準化的命名模式。
• 包版本控制仍然存在嚴重的復(fù)雜性。
• 大多數(shù)使用最廣泛的 FOSS 都是由少數(shù)貢獻者開發(fā)的。
• 個人開發(fā)者帳戶的安全性變得越來越重要。
• 開源空間中的遺留軟件仍然存在。

報告總結(jié)稱：“這次普查工作遠非關(guān)鍵 FOSS 項目的最終結(jié)論，它代表了關(guān)于如何確定重要軟件包并確保它們獲得足夠資源和支持的更廣泛對話的開始。”

??完整報告地址??

本文轉(zhuǎn)自O(shè)SCHINA

本文標題：FOSS 普查：認識最常用的開源軟件包，預(yù)防下一個 Log4j 漏洞

本文地址：https://www.oschina.net/news/185319/census-ii-foss-application-libraries