Census II identifie plus d’un millier des bibliothèques d’applications les plus largement déployées qui sont les plus critiques pour les opérations et la sécurité

SAN FRANCISCO – 2 mars 2022 – La Fondation Linux, l’organisation à but non lucratif permettant l’innovation de masse grâce à l’open source, a annoncé aujourd’hui la version finale de « Recensement II des logiciels libres et open source – Bibliothèques d’applications. » Cela fait suite à la publication préliminaire du recensement II, « Vulnerabilities in the Core,’ a Preliminary Report and Census II of Open Source Software” et identifie plus d’un millier des bibliothèques d’applications open source les plus largement déployées trouvées à partir d’analyses d’applications commerciales et d’entreprise. Cette étude indique quels packages, composants et projets open source justifient une prise en charge proactive des opérations et de la sécurité.

Le premier projet de recensement (« Census I ») a été mené en 2015 pour identifier les packages logiciels de la distribution Debian Linux qui étaient les plus critiques pour le fonctionnement et la sécurité d’un serveur Linux. L’objectif de l’étude actuelle (Recensement II) est de reprendre là où le recensement I s’est arrêté et d’identifier et de mesurer quel logiciel open source est le plus largement déployé dans les applications développées par des organisations privées et publiques. Ce recensement II permet d’obtenir une image plus complète de l’adoption des logiciels libres et open source (FOSS) en analysant les données d’utilisation anonymisées fournies par les sociétés partenaires d’analyse de composition logicielle (SCA). Snyk, le Synopsys Cybersecurity Research Center (CyRC) et FOSSA et est sur la base de leurs analyses de bases de code dans des milliers d’entreprises.

« Comprendre quels packages FOSS sont les plus largement utilisés dans la société nous permet d’engager de manière proactive les projets critiques qui justifient une prise en charge des opérations et de la sécurité », a déclaré Brian Behlendorf, directeur exécutif de la Linux Foundation’s Open Source Security Foundation (OpenSSF). « Les logiciels open source sont la base sur laquelle repose notre vie quotidienne, de nos institutions bancaires à nos écoles et lieux de travail. Census II fournit les détails fondamentaux dont nous avons besoin pour prendre en charge l’infrastructure la plus critique et la plus précieuse au monde.

Le recensement II comprend huit classements des 500 packages FOSS les plus utilisés parmi ceux rapportés dans les données d’utilisation privée fournies par les partenaires de SCA. Celles-ci incluent différentes tranches de données basées sur les versions, la structure et le système de conditionnement. Par exemple, cette recherche permet d’identifier les 10 principaux packages indépendants de la version disponibles sur le gestionnaire de packages npm qui ont été appelés directement dans les applications :

Lodash

Publicité

réagir

axios

déboguer

@babel/core

Express

Semver

uuid

réagir-dom

jquery

Pour consulter toutes les listes du Top 500 dans leur intégralité, veuillez visiter Data.World.

L’étude présente également ces cinq conclusions générales qui sont détaillées dans le rapport :

1) Le besoin d’un schéma de nommage normalisé pour les composants logiciels afin que les bibliothèques d’applications puissent être identifiées de manière unique

2) Les complexités associées à la gestion des versions du package – les directives SBOM devront refléter les informations de version qui sont cohérentes avec le référentiel public « principal » pour ce package, plutôt qu’avec les référentiels privés

3) La plupart des logiciels libres les plus utilisés sont développés par une poignée de contributeurs seulement – résultats dans un ensemble de données montrent que 136 développeurs wsont responsables de plus de 80 % des lignes de code ajoutées aux 50 premiers packages

4) L’importance croissante de la sécurité des comptes de développeur individuels – l’OpenSSF encourage l’utilisation de jetons MFA ou de comptes d’organisation pour obtenir une plus grande sécurité de compte

5) La persistance des logiciels hérités dans l’espace open source

Recensement II est rédigé par Franck Nagle, Harvard Business School; James Dana, Harvard Business School; Jennifer Hoffmann, Laboratoire des sciences de l’innovation à Harvard ; Steven Randazzo, Laboratoire des sciences de l’innovation à Harvard ; et Yanuo Zhou, Harvard Business School.

« Notre objectif est non seulement d’identifier le FOSS le plus largement utilisé, mais également de fournir un exemple de la façon dont la nature distribuée du FOSS nécessite un effort multipartite pour bien comprendre la valeur et la sécurité de l’écosystème FOSS. Ce n’est que grâce au partage de données, à la coordination et à l’investissement que la valeur de cette composante essentielle de l’économie numérique sera préservée pour les générations à venir », a déclaré Frank Nagle, professeur adjoint à la Harvard Business School.

Citations à l’appui

FOSSE

« Les logiciels open source jouent un rôle fondamental dans la croissance économique mondiale. Bien entendu, la nature omniprésente de l’OSS signifie que de graves vulnérabilités, telles que Log4Shell, peuvent avoir un impact dévastateur et généralisé. La mise en place d’une défense complète contre les menaces de la chaîne d’approvisionnement commence par l’établissement d’une forte visibilité sur les logiciels – et chez FOSSA, nous sommes ravis de pouvoir y contribuer nos capacités SBOM leaders du marché et l’expérience d’aider des milliers d’organisations à gérer avec succès leurs dépendances open source pour améliorer la transparence et la confiance dans la chaîne d’approvisionnement logicielle. – Kevin Wang, fondateur et PDG, FOSSA

Snyk

« Le dernier effort de recensement multipartite de la Linux Foundation est une preuve supplémentaire que l’OSS est au cœur non seulement du processus de développement d’applications modernes d’aujourd’hui, mais joue également un rôle de plus en plus vital dans les coulisses de toute la société », a déclaré Guy Podjarny, fondateur. , Snyk. « Nous sommes honorés d’avoir apporté des contributions significatives à cette dernière évaluation complète et saluons tous les efforts futurs qui aident à donner aux développeurs les moyens de construire notre avenir avec les bonnes informations pour également le sécuriser efficacement. »

Synopsis

« Les entreprises étant de plus en plus dépendantes des technologies open source, si ces mêmes entreprises ne contribuent pas aux projets open source dont elles dépendent, elles augmentent leur risque commercial. Ce risque va des projets devenus orphelins et contenant du code potentiellement vulnérable aux changements de mise en œuvre qui cassent les applications existantes. Le seul moyen significatif d’atténuer ce risque consiste à affecter des ressources pour contribuer à l’open source qui alimente l’entreprise. Après tout, bien qu’il y ait des millions de développeurs qui contribuent à l’open source, il se peut qu’un seul développeur travaille sur quelque chose d’essentiel à votre succès. – Tim Mackey, stratège principal en sécurité, Synopsys Cybersecurity Research Center

Ressources supplémentaires

Télécharger le rapport
Rejoignez le webinaire AUJOURD’HUI pour en savoir plus directement auprès des auteurs de ce rapport.

À propos de la Fondation Linux

Fondée en 2000, la Linux Foundation et ses projets sont soutenus par plus de 1 800 membres. La Fondation Linux est le principal foyer mondial de collaboration sur les logiciels open source, les normes ouvertes, les données ouvertes et le matériel ouvert. Les projets de la Linux Foundation sont essentiels à l’infrastructure mondiale, notamment Linux, Kubernetes, Node.js, Hyperledger, RISC-V, etc. La méthodologie de la Linux Foundation se concentre sur l’exploitation des meilleures pratiques et la réponse aux besoins des contributeurs, des utilisateurs et des fournisseurs de solutions pour créer des modèles durables de collaboration ouverte. Pour plus d’informations, rendez-vous sur linuxfoundation.org.

###

La Fondation Linux a des marques déposées et utilise des marques. Pour une liste des marques déposées de The Linux Foundation, veuillez consulter sa page d’utilisation des marques : www.linuxfoundation.org/trademark-usage. Linux est une marque déposée de Linus Torvalds.

Personnes-ressources pour les médias

Jennifer Cloer

503-867-2304

jennifer@storychangesculture.com

Rate this post
Publicité
Article précédentOn dirait que Google est sur une frénésie d’achat de démarrage audio
Article suivantJobless Reincarnation Hypes OVA avec une nouvelle promo
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici