哈佛大學(xué)創(chuàng)新科學(xué)實(shí)驗(yàn)室(LISH)和開源安全基金會(huì)(OpenSSF)聯(lián)合發(fā)布了迄今為止最全面的 FOSS 軟件包普查。這是針對(duì) FOSS 使用情況的第二次普查，基于來自合作伙伴軟件組合分析(SCA)公司的數(shù)據(jù);該數(shù)據(jù)由 Snyk、Synopsys 網(wǎng)絡(luò)安全研究中心(CyRC)和 FOSSA 提供。匯總的數(shù)據(jù)包括在數(shù)千家公司的生產(chǎn)應(yīng)用中使用的 50 多萬個(gè) FOSS 庫，報(bào)告旨在闡明在應(yīng)用庫層面最常用的 FOSS 包，此外還有助于保護(hù)這些項(xiàng)目。

“FOSS 已成為現(xiàn)代經(jīng)濟(jì)的重要組成部分。FOSS 項(xiàng)目數(shù)以千萬計(jì)，其中許多都存在于我們每天使用的軟件和產(chǎn)品中。然而鑒于 FOSS 是以分散和分布式的方式產(chǎn)生，因此很難充分了解其健康、經(jīng)濟(jì)價(jià)值和安全性?！?/p>

本次普查將 500 個(gè)最常用的 FOSS 軟件包分成八個(gè)不同的領(lǐng)域。其中包含不同的數(shù)據(jù)切片，包括 versioned/version-agnostic、npm/non-npm 包管理器、以及直接/直接和間接軟件包調(diào)用。例如，被直接調(diào)用的前 10 個(gè) version-agnostic 的 npm JavaScript 包是：

• lodash
• react
• axios
• debug
• @babel/core
• express
• semver
• uuid
• react-dom
• jquery

以上這些以及其他頂級(jí)庫都需要密切關(guān)注是否存在任何安全問題。報(bào)告指出，這些列表“代表了我們對(duì)不同應(yīng)用程序使用最廣泛的 FOSS 軟件包的最佳估計(jì)，因?yàn)闀r(shí)間有限，我們匯總了廣泛但并非詳盡的數(shù)據(jù)?！?/p>

研究人員希望通過提高對(duì)最常用的開源軟件包的認(rèn)識(shí)，可以幫助防止下一個(gè) Log4j 或 Heartbleed 漏洞的發(fā)生。報(bào)告的作者兼哈佛商學(xué)院助理教授 Frank Nagle 表示，“希望下一個(gè) Log4j 出現(xiàn)在我們的名單上，我們可以在嚴(yán)重問題出現(xiàn)之前解決它。”

報(bào)告作者希望，通過識(shí)別"critical FOSS packages"，它可以幫助刺激開發(fā)人員和最終用戶分享數(shù)據(jù)、投資和協(xié)調(diào)努力，以保護(hù)通常由一小群志愿開發(fā)人員維護(hù)的關(guān)鍵開源項(xiàng)目的安全。

報(bào)告還得出了五個(gè)總體發(fā)現(xiàn)：

• 需要為軟件組件提供更標(biāo)準(zhǔn)化的命名模式。
• 包版本控制仍然存在嚴(yán)重的復(fù)雜性。
• 大多數(shù)使用最廣泛的 FOSS 都是由少數(shù)貢獻(xiàn)者開發(fā)的。
• 個(gè)人開發(fā)者帳戶的安全性變得越來越重要。
• 開源空間中的遺留軟件仍然存在。

報(bào)告總結(jié)稱：“這次普查工作遠(yuǎn)非關(guān)鍵 FOSS 項(xiàng)目的最終結(jié)論，它代表了關(guān)于如何確定重要軟件包并確保它們獲得足夠資源和支持的更廣泛對(duì)話的開始?！?/p>

??完整報(bào)告地址??

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：FOSS 普查：認(rèn)識(shí)最常用的開源軟件包，預(yù)防下一個(gè) Log4j 漏洞

本文地址：https://www.oschina.net/news/185319/census-ii-foss-application-libraries