新研究显示开源软件为全球96%的现代应用程序提供支持但也存在着担忧

日前哈佛商学院、哈佛创新科学实验室、Linux 基金会、OpenSSF (开源安全基金会) 联合研究撰写的《免费和开源软件普查 III》发布，此次研究以前两次研究为基础，研究构成现代软件基石的应用程序级组件。

此次研究分析了 10,000 家公司使用的超过 1,200 万条开源软件使用情况数据，研究团队与业界合作收集了来自多个平台的匿名数据，分析包括对生产代码库的自动扫描和对软件组合的全面人工审查，从而深入了解开源软件的使用情况及其在整个软件供应链中的间接依赖情况。

本次研究发现的特点包括：

这份报告目前在 Linux 基金会官方网站提供免费下载，有兴趣的网友可以查看报告全文：https://www.linuxfoundation.org/research/census-iii?hsLang=en

单一维护者项目的风险暴露：

研究报告指出，40% 的顶级项目只有 1~2 名开发者并且贡献了超过 80% 以上的代码，贡献者 / 维护者的高度集中模式代表着潜在的安全隐患。

案例是今年的 XZ Utils 供应链投毒事件，黑客通过频繁为该项目提交代码获得主要维护者的好感和信任，之后成为维护者后开始在项目中投毒，然后感染了大量的下游项目。

OpenSSF 基金会正在努力解决这类挑战：确保审查的源代码就是人们正在运行的代码。开源软件的一大优势就是可以进行广泛审查，从而寻找有意或无意中包含的漏洞。

然而如果审查的内容不是用于构建最终产品的内容那审查就会变得没有意义，所以现在 OpenSSF 的工作就包括强化构建和分发流程，确保现实中运行的代码就是已经经过审查的代码。

Python 2 属于老生常谈的问题：

Python 基金会在 2000 年发布 Python 2，在 2008 年发布 Python 3 系列，目前 Python 主要在 Python 3.x 系列上进行更迭。

比较头疼的是一些行业的 Python 2 使用率为 20%~30%，使用过时版本的 Python 意味着存在安全隐患，但业界暂时也没有更好的办法能够完成新版本更迭。

OpenSSL 认为如果让新版本升级变得极其容易或许能够推动开源软件的新版本采用率，例如在几乎所有情况下，新版本都应该完全向后兼容旧版本，尤其是以前的老版本，尽管这需要开发者付出额外的努力，但这应该是正确的方法。

更多相关技术内容咨询欢迎前往并持续关注好学星城论坛了解详情。

想高效系统的学习Python编程语言，推荐大家关注一个微信公众号：Python编程学习圈。每天分享行业资讯、技术干货供大家阅读，关注即可免费领取整套Python入门到进阶的学习资料以及教程，感兴趣的小伙伴赶紧行动起来吧。

0 条评论