Linux Foundation: старі мови програмування несуть потенційний ризик для безпеки

Організація Linux Foundation у партнерстві з Лабораторією інноваційної науки Гарварда опублікувала звіт з аналізом поточних тенденцій на ринку програмного забезпечення з відкритим кодом (FOSS). У документі використано понад 12 млн. спостережень за застосуванням open source у понад 10 000 проектах та компаніях.

Звіт під назвою Census III визначає кілька змін у використанні відкритого ПЗ:  

• Зростає використання хмарних пакетів: попит на бібліотеки, орієнтовані на хмарні сервіси, продовжує зростати.
• Перехід на Python 3: продовжується перехід від застарілого Python 2 на Python 3.
• Збільшення популярності: пакети Maven, які часто застосовуються в розробці на Java, все ще користуються попитом, однак NuGet (пов’язаний з .NET) і репозиторії Python отримують все більшу популярність.
• Нові технології: використання пакету Rust значно зросло порівняно з попередніми дослідженнями.
• Проблеми зі старим кодом: застаріле програмне забезпечення продовжує використовуватися, що ускладнює довгострокову стабільність FOSS.
• Співавтори та безпека: значна кількість найбільш поширених бібліотек FOSS часто підтримуються лише невеликою групою співавторів, що підкреслює брак ресурсів і збільшує важливість захисту окремих акаунтів розробників.
• Потреби в стандартизації: відсутність узгоджених дій про іменування програмних компонентів ускладнює відстеження залежностей.

«Найбільшим сюрпризом стало значне збільшення використання бібліотек з відкритим кодом для доступу до хмарних сервісів», — говорить Девід Вілер, директор Open Source Supply Chain Security в OpenSSF. 

У звіті також йдеться, що у 40% провідних open source проектах понад 80% комітів припадає на одного чи двох розробників. Така концентрація, на думку експертів, є потенційною загрозою для безпеки.

«У деяких проектах працює один або всього кілька розробників, а ми хотіли б бачити в популярних проектах багато розробників, оскільки наявність їх великої кількості може бути стримуючим фактором для інших», — додає Вілер.

Ще один ключовий висновок: поширення старих мов програмування теж несе ризики. Зазначається, що, незважаючи на те, що Python 3 випустили 16 років тому, перехід на нього досі не завершений, і в деяких секторах на 20-30% все ще використовується Python 2.