Новий звіт Linux Foundation «Census III of Free and Open Source Software» виявив, що Open Source-компоненти присутні майже у всіх сучасних додатках, при цьому пакети для хмарних обчислень демонструють особливо значне зростання такої присутності.

У новому звіті проаналізовано понад 12 млн. спостережень за використанням Free and Open Source Software (FOSS) у понад 10 тис. компаній. Аналіз включав як автоматичне сканування , так і ретельний аудит програмних компонентів , що дозволило отримати уявлення як про пряме використання пакетів FOSS, так і про їх непрямі залежності в ланцюжку постачання ПЗ.

Основні результати дослідження включають:

• Компоненти з відкритим вихідним кодом є у 96% кодових баз.

• Швидко зростає використання пакетів специфічних для хмарних сервісів.

• Як і раніше, використовується застарілий Python 2, що піддає системи ризикам безпеки.

• З моменту проведення дослідження «Census II» кількість користувачів Rust зросла на 500%, що свідчить про перехід до програмування із захистом пам'яті, тобто програма не зможе отримати доступ до пам'яті, яка не була виділена або звільнена.

• Відсутність стандартизованих імен для програмного забезпечення підвищує ризики безпеки.

• Великими проектами FOSS керує невелика група розробників, що створює проблеми зі стійкістю.

Зокрема у 40% провідних FOSS-проектів понад 80% робіт припадає на одного чи двох розробників. Така концентрація є потенційною загрозою безпеці.

Для прикладу, в 2024 році було виявлено атаку на ланцюжок поставок, який використовував соціальну інженерію для зловмисного впровадження бекдору в популярний Open Source-пакет XZ Utils. Атака включала запуск кампанії тиску на єдиного супроводжуючого проекту з метою додавання другого розробника, який згодом і впровадив бекдор. Цей інцидент є підтвердженням одного з ключових висновків звіту про ризик концентрації відповідальності у FOSS-проектах та наслідки безпеки, пов'язані з тим, що проекти підтримуються дуже маленькими командами.

Атака на XZ Utils також ілюструє проблему, над вирішенням якої працює OpenSSF: забезпечення того, щоб вихідний код, який використовується людьми, відповідав тому, що проходить перевірку. Адже велика перевага відкритого ПЗ полягає в тому, що його можна ретельно перевіряти на предмет ненавмисних або навмисних вразливостей.