12 月 6 日 信息，依据最新公布的第三次 自由和开源软件(FOSS)普查报告显示，开源组件已成为现代 利用的基石，96% 的代码库中存在开源组件 。

报告简介

注：该报告全称为《Census III of Free and Open Source Software》，由哈佛商学院、哈佛大学创新科学 试验室(LISH)、Linux 基金年探究部以及开源安全基金会(OpenSSF)联合公布 。

该探究 构建在前两次普查的 根底上，不再局限于操作系统库，而是 考查组成现代软件基石的 利用程序级组件 。

本次报告 综合了超过 1 万家公司、1200 万条 FOSS 使用数据，哈佛大学-Linux 基金会探究团队还和 FOSSA、Snyk、Sonatype 和 Synopsis 等软件成分 综合(SCA)公司合作，整合了来自多个平台的匿名数据 。

综合内容包含对生产代码库的自动扫描和对软件组件的全面人工审计，从而 深刻了解 FOSS 软件包的直接 使用状况及其在整个软件供给链中的 直接依赖关系 。

报告内容：

探究发现，96% 的代码库包含开源组件，凸显了开源软件在当今数字经济中的核心地位 。

报告还指出，云服务专用软件包的 使用量卓著增进 。OpenSSF 的开源供给链安全总监 David Wheeler 认为，这表明软件开发模式正从“直接 迁徙”转向“云原生开发”，即专门为云环境和特定云服务构建 利用 。

报告揭示了一些潜在的安全风险：

• 行业内仍 宽泛 使用 过期的 Python 2， 部分行业占比高达 20-30% 。

• 40% 的顶级开源 名目仅由一两位开发者 保护，例如 XZ Utils 事件 裸露了单一 保护者 名目易受社会工程学 袭击的风险 。

• 软件组件不足 标准化命名也添加了安全风险 。

  DIY从入门到放弃：CPU的顶盖有秘密	Win系统中怎样使用U盘分区
  哪一面都很美 学习如何突出人像的唯美感	英特尔股价雪崩 蓝色巨人到底怎么了

OpenSSF 为了 应答这些 挑战，正致力于强化构建和 散发流程，例如通过 SLSA 和 Sigstore 名目确保代码安全，同时报告也 提议开发者简化版本更新流程，并优先考量向后兼容性，以减低安全风险 。

免责声明：凡标注转载/编译字样内容并非本站原创，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。