最新的《自由與開(kāi)源軟件普查報(bào)告》（Census III of Free and Open Source Software）揭示了開(kāi)源組件在現(xiàn)代應(yīng)用開(kāi)發(fā)中扮演的關(guān)鍵角色。這份由哈佛商學(xué)院、哈佛大學(xué)創(chuàng)新科學(xué)實(shí)驗(yàn)室（LISH）、Linux基金會(huì)研究部以及開(kāi)源安全基金會(huì)（OpenSSF）聯(lián)合推出的報(bào)告，為我們提供了對(duì)當(dāng)今軟件開(kāi)發(fā)趨勢(shì)的深刻洞察。

與前兩次普查相比，此次研究不再局限于操作系統(tǒng)庫(kù)，而是深入探索了構(gòu)成現(xiàn)代軟件基礎(chǔ)的應(yīng)用程序級(jí)組件。通過(guò)對(duì)超過(guò)1萬(wàn)家公司、涉及1200萬(wàn)條FOSS使用數(shù)據(jù)的分析，報(bào)告描繪了一幅開(kāi)源軟件使用的全面圖景。哈佛大學(xué)與Linux基金會(huì)的研究團(tuán)隊(duì)與FOSSA、Snyk、Sonatype和Synopsis等軟件成分分析（SCA）公司合作，整合了多個(gè)平臺(tái)的匿名數(shù)據(jù)，確保了研究的全面性和準(zhǔn)確性。

報(bào)告顯示，開(kāi)源組件在代碼庫(kù)中的普及程度令人矚目，96%的代碼庫(kù)都包含開(kāi)源組件，這進(jìn)一步強(qiáng)調(diào)了開(kāi)源軟件在數(shù)字經(jīng)濟(jì)中的核心地位。然而，隨著開(kāi)源軟件的廣泛應(yīng)用，一些潛在的安全風(fēng)險(xiǎn)也逐漸顯現(xiàn)。

例如，一些行業(yè)仍然廣泛使用已經(jīng)過(guò)時(shí)的Python 2版本，占比甚至高達(dá)20-30%。報(bào)告還發(fā)現(xiàn)，40%的頂級(jí)開(kāi)源項(xiàng)目?jī)H由一兩位開(kāi)發(fā)者維護(hù)，這增加了項(xiàng)目受到社會(huì)工程學(xué)攻擊的風(fēng)險(xiǎn)，如XZ Utils事件所揭示的那樣。軟件組件缺乏標(biāo)準(zhǔn)化命名也是一個(gè)不容忽視的安全隱患。

除了安全風(fēng)險(xiǎn)，報(bào)告還指出了軟件開(kāi)發(fā)模式的變化。云服務(wù)專(zhuān)用軟件包的使用量顯著增長(zhǎng)，這表明軟件開(kāi)發(fā)正在從傳統(tǒng)的“直接遷移”模式向“云原生開(kāi)發(fā)”模式轉(zhuǎn)變。OpenSSF的開(kāi)源供應(yīng)鏈安全總監(jiān)David Wheeler認(rèn)為，這一趨勢(shì)反映了開(kāi)發(fā)者正在為云環(huán)境和特定云服務(wù)構(gòu)建應(yīng)用，以適應(yīng)日益增長(zhǎng)的云原生需求。

為了應(yīng)對(duì)這些挑戰(zhàn)，OpenSSF正在積極采取措施強(qiáng)化構(gòu)建和分發(fā)流程。通過(guò)SLSA和Sigstore等項(xiàng)目，OpenSSF致力于確保代碼的安全性。同時(shí)，報(bào)告也為開(kāi)發(fā)者提供了建議，包括簡(jiǎn)化版本更新流程、優(yōu)先考慮向后兼容性等，以降低安全風(fēng)險(xiǎn)并提升軟件質(zhì)量。

總的來(lái)說(shuō)，這份報(bào)告不僅揭示了開(kāi)源軟件在現(xiàn)代應(yīng)用中的廣泛應(yīng)用和重要地位，還指出了軟件開(kāi)發(fā)過(guò)程中存在的安全風(fēng)險(xiǎn)和模式變化。對(duì)于開(kāi)發(fā)者而言，這是一份不可多得的寶貴資源，有助于他們更好地理解和應(yīng)對(duì)當(dāng)前的軟件開(kāi)發(fā)環(huán)境。