گزارش نشان می دهد که تعداد کمی از پروژه های منبع باز به طور فعال نگهداری می شوند

تجزیه و تحلیل زنجیره تامین نرم‌افزار سالانه Sonatype نشان می‌دهد که تعمیر و نگهداری پروژه منبع باز رو به کاهش است، در حالی که از هر ۸ دانلود منبع باز، ۱ مورد خطر شناخته شده‌ای دارد.

تحلیل اخیری که تقریباً ۱.۲ میلیون پروژه نرم‌افزاری منبع باز را به خود اختصاص داده است، عمدتاً در چهار اکوسیستم اصلی نشان می‌دهد که تنها حدود ۱۱ درصد از پروژه‌ها به طور فعال حفظ می‌شوند.

در ۹^امین وضعیت سالانه گزارش زنجیره تامین نرم افزار که در ۳ اکتبر منتشر شد، شرکت مدیریت زنجیره تامین نرم افزار Sonatype 1,176,407 پروژه را ارزیابی کرد و در سال جاری کاهش ۱۸ درصدی را در پروژه های فعالانه گزارش داد. فقط ۱۱ درصد از پروژه ها – ۱۱۸,۰۲۸ – تعمیر و نگهداری فعال دریافت می کردند. این گزارش همچنین نشان می‌دهد که برخی از پروژه‌های جدید که در سال ۲۰۲۲ نگهداری نشده‌اند، اکنون در حال نگهداری هستند.

چهار اکوسیستم شامل جاوا اسکریپت، از طریق NPM. جاوا، از طریق ابزار مدیریت پروژه Maven؛ Python، از طریق فهرست بسته PyPI؛ و .NET، از طریق گالری NuGet. برخی از پروژه های Go نیز گنجانده شد. بر اساس این گزارش، ۱۸.۶ درصد از پروژه‌های جاوا و جاوا اسکریپت که در سال ۲۰۲۲ نگهداری می‌شدند، امروز دیگر نگهداری نمی‌شوند.

Sonatype همچنین دریافت که پروژه‌های منبع باز که به طور مداوم نگهداری می‌شوند، نسبت به همتایان خود در بهترین شیوه‌های حیاتی برای امنیت نرم‌افزار عملکرد بهتری دارند.

گزارش ۶۲ صفحه‌ای داده‌ها و تحلیل‌های عمومی و اختصاصی را ترکیب می‌کند، از جمله الگوهای به‌روزرسانی وابستگی برای بیش از ۴۰۰ میلیارد بارگیری Maven Central و هزاران پروژه منبع باز. همچنین نتایج نظرسنجی از ۶۲۱ متخصص مهندسی و روندهای امنیتی از چهار اکوسیستم نرم افزاری اصلی را در خود جای داده است. یافته‌های اضافی از گزارش:

• ۶۷% از پاسخ دهندگان گفتند که معتقد نیستند برنامه های کاربردی آنها به کتابخانه های آسیب پذیر شناخته شده متکی است. نزدیک به ۱۰٪ موارد نقض امنیتی را به دلیل آسیب پذیری های منبع باز در ۱۲ ماه گذشته گزارش کرده اند.
• ۳۹% از سازمان‌ها در عرض یک تا هفت روز آسیب‌پذیری‌ها را کشف می‌کنند، در حالی که ۲۹% بیش از یک هفته و ۲۸% در عرض یک روز آن‌ها را کشف می‌کنند. در مورد کاهش آسیب‌پذیری، ۳۹٪ به بیش از یک هفته نیاز دارند تا آسیب‌پذیری‌ها را کاهش دهند.
• استفاده از هوش مصنوعی و مؤلفه‌های نرم‌افزار یادگیری ماشین در محیط‌های شرکتی ۱۳۵ درصد در سال گذشته افزایش یافته است.
• یکی از هر هشت دانلود منبع باز دارای خطر شناخته شده ای بود، اما ۹۶ درصد از نسخه های آسیب پذیر دانلود شده دارای نسخه ثابت در دسترس بودند.
• نرخ رشد دانلود در مصرف منبع باز در طول دو سال گذشته کند شده است.