تجزیه و تحلیل زنجیره تامین نرمافزار سالانه Sonatype نشان میدهد که تعمیر و نگهداری پروژه منبع باز رو به کاهش است، در حالی که از هر ۸ دانلود منبع باز، ۱ مورد خطر شناخته شدهای دارد.
تحلیل اخیری که تقریباً ۱.۲ میلیون پروژه نرمافزاری منبع باز را به خود اختصاص داده است، عمدتاً در چهار اکوسیستم اصلی نشان میدهد که تنها حدود ۱۱ درصد از پروژهها به طور فعال حفظ میشوند.
در ۹امین وضعیت سالانه گزارش زنجیره تامین نرم افزار که در ۳ اکتبر منتشر شد، شرکت مدیریت زنجیره تامین نرم افزار Sonatype 1,176,407 پروژه را ارزیابی کرد و در سال جاری کاهش ۱۸ درصدی را در پروژه های فعالانه گزارش داد. فقط ۱۱ درصد از پروژه ها – ۱۱۸,۰۲۸ – تعمیر و نگهداری فعال دریافت می کردند. این گزارش همچنین نشان میدهد که برخی از پروژههای جدید که در سال ۲۰۲۲ نگهداری نشدهاند، اکنون در حال نگهداری هستند.
چهار اکوسیستم شامل جاوا اسکریپت، از طریق NPM. جاوا، از طریق ابزار مدیریت پروژه Maven؛ Python، از طریق فهرست بسته PyPI؛ و .NET، از طریق گالری NuGet. برخی از پروژه های Go نیز گنجانده شد. بر اساس این گزارش، ۱۸.۶ درصد از پروژههای جاوا و جاوا اسکریپت که در سال ۲۰۲۲ نگهداری میشدند، امروز دیگر نگهداری نمیشوند.
Sonatype همچنین دریافت که پروژههای منبع باز که به طور مداوم نگهداری میشوند، نسبت به همتایان خود در بهترین شیوههای حیاتی برای امنیت نرمافزار عملکرد بهتری دارند.
گزارش ۶۲ صفحهای دادهها و تحلیلهای عمومی و اختصاصی را ترکیب میکند، از جمله الگوهای بهروزرسانی وابستگی برای بیش از ۴۰۰ میلیارد بارگیری Maven Central و هزاران پروژه منبع باز. همچنین نتایج نظرسنجی از ۶۲۱ متخصص مهندسی و روندهای امنیتی از چهار اکوسیستم نرم افزاری اصلی را در خود جای داده است. یافتههای اضافی از گزارش:
- ۶۷% از پاسخ دهندگان گفتند که معتقد نیستند برنامه های کاربردی آنها به کتابخانه های آسیب پذیر شناخته شده متکی است. نزدیک به ۱۰٪ موارد نقض امنیتی را به دلیل آسیب پذیری های منبع باز در ۱۲ ماه گذشته گزارش کرده اند.
- ۳۹% از سازمانها در عرض یک تا هفت روز آسیبپذیریها را کشف میکنند، در حالی که ۲۹% بیش از یک هفته و ۲۸% در عرض یک روز آنها را کشف میکنند. در مورد کاهش آسیبپذیری، ۳۹٪ به بیش از یک هفته نیاز دارند تا آسیبپذیریها را کاهش دهند.
- استفاده از هوش مصنوعی و مؤلفههای نرمافزار یادگیری ماشین در محیطهای شرکتی ۱۳۵ درصد در سال گذشته افزایش یافته است.
- یکی از هر هشت دانلود منبع باز دارای خطر شناخته شده ای بود، اما ۹۶ درصد از نسخه های آسیب پذیر دانلود شده دارای نسخه ثابت در دسترس بودند.
- نرخ رشد دانلود در مصرف منبع باز در طول دو سال گذشته کند شده است.
پست های مرتبط
گزارش نشان می دهد که تعداد کمی از پروژه های منبع باز به طور فعال نگهداری می شوند
گزارش نشان می دهد که تعداد کمی از پروژه های منبع باز به طور فعال نگهداری می شوند
گزارش نشان می دهد که تعداد کمی از پروژه های منبع باز به طور فعال نگهداری می شوند