Компоненты открытого ПО участвуют в работе абсолютного большинства приложений

Linux Foundation опубликовала исследование Census III, которое анализирует использование FOSS в 10 000 компаниях. Исследование выявило, что 96% современных приложений включают компоненты FOSS, подчёркивая их значимость для мировой инфраструктуры.

Исследование проводилось совместно с Гарвардским университетом и ведущими компаниями анализа программного обеспечения, включая Snyk, Sonatype и FOSSA. Анализ охватывает 12 млн случаев использования FOSS.

Среди ключевых выводов: стремительный рост облачных пакетов, увеличение популярности языка Rust и постепенное обновление устаревшего Python 2. В то же время стандартизация названий компонентов остаётся вызовом, затрудняющим управление зависимостями.

Эксперты подчёркивают проблему зависимости от небольших команд разработчиков, которые поддерживают ключевые проекты. Например, в 40% случаев проекты опираются на одного-двух участников, что делает экосистему уязвимой.

Census III также выделяет рост угроз безопасности. Так, в 2024 году была зафиксирована атака на популярный пакет XZ Utils, где социальная инженерия привела к внедрению бэкдора через нового сопровождающего. Это подчёркивает важность проверки кода перед его использованием.

Переход к облачным сервисам становится доминирующим трендом. Как отмечает Дэвид Уилер из OpenSSF, новое ПО разрабатывается специально для облачной инфраструктуры, что требует обновления инструментов и подходов к безопасности.

Исследование также затрагивает использование небезопасных для памяти языков программирования. Более половины строк кода в популярных проектах написаны на таких языках, увеличивая риски. Эксперты советуют разработчикам уделять больше внимания обратной совместимости для упрощения обновлений.

Census III продолжает традицию исследований, начатую в 2015 году. Оно служит важным ресурсом для компаний и организаций, стремящихся усилить безопасность своей программной цепочки поставок.