来源:贝博app体育官网下载最新下载 发布时间:2025-01-16 04:08:33
日前哈佛商学院、哈佛创新科学实验室、Linux 基金会、OpenSSF (开源安全基金会) 联合研究撰写的《免费和开源软件普查 III》发布,此次研究以前两次研究为基础,研究构成现代软件基石的应用程序级组件。
此次研究分析了 10000 家公司使用的超过 1200 万条开源软件使用情况数据,研究团队与业界合作收集了来自多个平台的匿名数据,分析包括对生产代码库的自动扫描和对软件组合的全面人工审查,从而进一步探索开源软件的使用情况及其在整个软件供应链中的间接依赖情况。
这份报告目前在 Linux 基金会官方网站提供免费下载,有兴趣的网友能查看报告全文:
研究报告指出,40% 的顶级项目只有 1~2 名开发者并且贡献了超过 80% 以上的代码,贡献者 / 维护者的高度集中模式代表着潜在的安全隐患。
案例是今年的 XZ Utils 供应链投毒事件,黑客通过频繁为该项目提交代码获得主要维护者的好感和信任,之后成为维护者后开始在项目中投毒,然后感染了大量的下游项目。
OpenSSF 基金会正在努力解决这类挑战:确保审查的源代码就是人们正在运行的代码。开源软件的一大优势就应该进行广泛审查,从而寻找有意或无意中包含的漏洞。
然而如果审查的内容不是用于构建最终产品的内容那审查就会变得毫无意义,所以现在 OpenSSF 的工作就包括强化构建和分发流程,确保现实中运行的代码就是已经经过审查的代码。
比较头疼的是一些行业的 Python 2 使用率为 20%~30%,使用过时版本的 Python 意味着存在安全风险隐患,但业界暂时也没有更好的办法能完成新版本更迭。
OpenSSL 认为如果让新版本升级变得极其容易或许能够推动开源软件的新版本采用率,例如在几乎所有情况下,新版本都应该完全向后兼容旧版本,尤其是以前的老版本,尽管这需要开发者付出额外的努力,但这应该是正确的方法。
Linux内核项目组:2024年度Linux内核代码提交量降至75314次创十年新低 新增代码量达369万行
AWS张侠:TensorFlow全球85%负载都在AWS平台上 开发成本可降低54%
CNCF:中国已成为全世界第二大开源贡献国 CNCF项目的代码贡献接近100万
哈佛商学院:研究显示用户分享网络广告视频是因为这种行为能给他们添光增色
Pinreach哈佛商学院:研究称营销商对Pinterest图片价格标签应谨慎
工信部:2022年1-10 月中国软件业务收入 84214 亿元 同比增长 10%
阿里达摩院:GPT-4替代初级数据分析师的成本只有0.71% 换成高级数据分析师则是0.45%
9to5mac:2024年M4 mac mini以37.3%支持率成苹果年度最佳产品
国铁集团:2024年全国铁路客运量达40.8亿人次 同比增长10.8%
百度:2024年AI日均调用量超15亿次 文库AI付费用户突破4000万
微软:2025财年计划投资800亿美元建设AI数据中心 超50%投向美国
挪威道路联合会:2024年挪威新车销量88.9%为电动车 市场占比创新高
韩国行政安全部:2024年韩国新生儿增至24.2万人 9年来首现正增长
AI专家:2027-2029年AI或将取代95%人类工作 AGI引发全球经济变革
我们致力为中国互联网研究和咨询及IT行业数据专业技术人员和决策者提供一个数据共享平台。