Έκθεση διαπιστώνει ότι ελάχιστα έργα ανοικτού κώδικα συντηρούνται ενεργά

Μια πρόσφατη ανάλυση που αφορούσε σχεδόν 1,2 εκατομμύρια έργα λογισμικού ανοικτού κώδικα κυρίως σε τέσσερα μεγάλα οικοσυστήματα διαπίστωσε ότι μόνο το 11% των έργων συντηρούνταν ενεργά.

Στην 9η ετήσια έκθεση State of the Software Supply Chain, που δημοσιεύθηκε στις 3 Οκτωβρίου, η εταιρεία διαχείρισης της αλυσίδας εφοδιασμού λογισμικού Sonatype αξιολόγησε 1.176.407 έργα και ανέφερε ότι φέτος παρατηρήθηκε μείωση κατά 18% στα ενεργά συντηρούμενα έργα. Μόλις το 11% των έργων-118.028-λάμβαναν ενεργή συντήρηση. Η έκθεση διαπίστωσε επίσης ότι ορισμένα νέα έργα, που δεν συντηρούνταν το 2022, τώρα συντηρούνται.

Τα τέσσερα οικοσυστήματα περιλάμβαναν τη JavaScript, μέσω του NPM- τη Java, μέσω του εργαλείου διαχείρισης έργων Maven- την Python, μέσω του ευρετηρίου πακέτων PyPI- και την .NET, μέσω της γκαλερί NuGet. Συμπεριλήφθηκαν επίσης ορισμένα έργα Go. Σύμφωνα με την έκθεση, το 18,6% των έργων Java και JavaScript που συντηρούνταν το 2022 δεν συντηρούνται πλέον σήμερα.

Η Sonatype διαπίστωσε επίσης ότι τα έργα ανοικτού κώδικα που συντηρούνται με συνέπεια υπερτερούν των αντίστοιχων έργων σε κρίσιμες βέλτιστες πρακτικές για την ασφάλεια του λογισμικού.

Η έκθεση 62 σελίδων συνδυάζει δημόσια και ιδιόκτητα δεδομένα και αναλύσεις, συμπεριλαμβανομένων των προτύπων ενημέρωσης εξαρτήσεων για περισσότερες από 400 δισεκατομμύρια λήψεις του Maven Central και χιλιάδες έργα ανοικτού κώδικα. Ενσωματώνει επίσης τα αποτελέσματα έρευνας από 621 επαγγελματίες μηχανικούς και τις τάσεις ασφάλειας από τα τέσσερα μεγάλα οικοσυστήματα λογισμικού. Πρόσθετα ευρήματα από την έκθεση:

• Το 67% των ερωτηθέντων δήλωσαν ότι δεν πιστεύουν ότι οι εφαρμογές τους βασίζονται σε γνωστές ευάλωτες βιβλιοθήκες. Σχεδόν το 10% ανέφερε παραβιάσεις ασφάλειας λόγω ευπαθειών ανοιχτού κώδικα κατά τους τελευταίους 12 μήνες.
• Το 39% των οργανισμών ανακαλύπτουν ευπάθειες μέσα σε μία έως επτά ημέρες, ενώ το 29% χρειάζεται περισσότερο από μία εβδομάδα και το 28% τις ανακαλύπτει μέσα σε μία ημέρα. Όσον αφορά τον μετριασμό, το 39% απαιτεί περισσότερο από μία εβδομάδα για τον μετριασμό των ευπαθειών.
• Η χρήση στοιχείων λογισμικού AI και μηχανικής μάθησης εντός εταιρικών περιβαλλόντων αυξήθηκε κατά 135% κατά το τελευταίο έτος.
• Μία στις οκτώ λήψεις ανοικτού κώδικα είχε γνωστό κίνδυνο, αλλά το 96% των ευάλωτων εκδόσεων που λήφθηκαν είχε διαθέσιμη μια διορθωμένη έκδοση.
• Ο ρυθμός αύξησης των λήψεων στην κατανάλωση ανοικτού κώδικα επιβραδύνθηκε τα τελευταία δύο χρόνια.