W swoim 9. dorocznym raporcie State of the Software Supply Chain, opublikowanym 3 października, firma Sonatype zajmująca się zarządzaniem łańcuchem dostaw oprogramowania oceniła 1 176 407 projektów i odnotowała w tym roku 18% spadek aktywnie utrzymywanych projektów. Tylko 11% projektów - 18 028 - było aktywnie utrzymywanych. Raport wykazał również, że niektóre nowe projekty, które nie były utrzymywane w 2022 r., są obecnie utrzymywane.

Analiza obejmująca prawie 1,2 miliona projektów oprogramowania open source, głównie w czterech głównych ekosystemach, wykazała, że tylko około 11% projektów było aktywnie utrzymywanych. Cztery ekosystemy obejmowały JavaScript, za pośrednictwem NPM; Java, za pośrednictwem narzędzia do zarządzania projektami Maven; Python, za pośrednictwem indeksu pakietów PyPI; oraz .NET, za pośrednictwem galerii NuGet. Uwzględniono również niektóre projekty Go. Według raportu, 18,6% projektów Java i JavaScript, które były utrzymywane w 2022 roku, nie jest już obecnie utrzymywanych.

Zobacz również:

• Potencjał niskiego kodu

Analitycy Sonatype stwierdzili również, że projekty open source, które są konsekwentnie utrzymywane, przewyższają odpowiedniki pod względem krytycznych najlepszych praktyk w zakresie bezpieczeństwa oprogramowania. Ich 62-stronicowy raport łączy publiczne i zastrzeżone dane i analizy, w tym wzorce aktualizacji zależności dla ponad 400 miliardów pobrań Maven Central i tysięcy projektów open source. Uwzględnia on również wyniki ankiety przeprowadzonej wśród 621 specjalistów ds. inżynierii oraz trendy w zakresie bezpieczeństwa z czterech głównych ekosystemów oprogramowania. Ponadto, 67% respondentów stwierdziło, że nie sądzi, by ich aplikacje korzystały ze znanych podatnych na ataki bibliotek. Prawie 10% respondentów zgłosiło naruszenia bezpieczeństwa spowodowane lukami w oprogramowaniu open source w ciągu ostatnich 12 miesięcy. 39% organizacji odkrywa luki w ciągu jednego do siedmiu dni, podczas gdy 29% zajmuje to ponad tydzień, a 28% odkrywa je w ciągu jednego dnia. Jeśli chodzi o łagodzenie skutków, 39% potrzebuje ponad tygodnia, aby złagodzić luki w zabezpieczeniach. Wykorzystanie sztucznej inteligencji i komponentów oprogramowania do uczenia maszynowego w środowiskach korporacyjnych wzrosło o 135% w ciągu ostatniego roku. Jedno na osiem pobrań oprogramowania open source wiązało się ze znanym ryzykiem, ale 96% pobrań podatnych na ataki miało dostępną wersję naprawioną.

Tempo wzrostu liczby pobrań oprogramowania open source spadło w ciągu ostatnich dwóch lat.

Źródło: Infoworld