FOSS 普查:认识最常用的开源软件包,预防下一个 Log4j 漏洞
哈佛大学创新科学实验室(LISH)和开源安全基金会(OpenSSF)联合发布了迄今为止最全面的 FOSS 软件包普查。这是针对 FOSS 使用情况的第二次普查,基于来自合作伙伴软件组合分析(SCA)公司的数据;该数据由Snyk、Synopsys 网络安全研究中心(CyRC)和 FOSSA 提供。汇总的数据包括在数千家公司的生产应用中使用的 50 多万个 FOSS库,报告旨在阐明在应用库层面最常用的 FOSS包,此外还有助于保护这些项目。 “FOSS 已成为现代经济的重要组成部分。FOSS 项目数以千万计,其中许多都存在于我们每天使用的软件和产品中。然而鉴于 FOSS 是以分散和分布式的方式产生,因此很难充分了解其健康、经济价值和安全性。” 本次普查将 500 个最常用的 FOSS 软件包分成八个不同的领域。其中包含不同的数据切片,包括 versioned/version-agnostic、npm/non-npm 包管理器、以及直接/直接和间接软件包调用。例如,被直接调用的前 10 个 version-agnostic的 npm JavaScript 包是: lodash react a...
