В компании Google разработали систему, которая позволяет оценить важность тех или иных проектов с отрытым исходным кодом. В компании заявили, что на текущий момент многие проекты этой категории вынуждены бороться за финансирование и место на рынке. Хотя при этом они используются во многих критически важных системах.
Google, как часть Open Source Security Foundation (OpenSSF), намеревается упростить определение важности того или иного проекта. Авторы важных проектов могут обратиться в OpenSFF за помощью и получить финансирование или необходимую для работы проекта инфрраструктуру.
Для расчёта так называемого уровня критичности применяется алгоритм, который был предложен программистом Робом Пайком (Rob Pike). Суть его в использовании десяти весовых коэффициентов, по которым рассчитывается итоговый показатель в диапазоне от 0 до 1. То есть, от минимально до максимально критически важного.
В числе критериев учитываются возраст проекта, количество отдельных участников и вовлеченных организаций, участие пользователей и так далее. Допустимо добавлять и свои параметры, чтобы оценить уровень критичности.
После выявления таких проектов планируется предоставить им нужные ресурсы, что позволит улучшить работу проектов с открытым исходным кодом. Полный список таких проектов доступен по ссылке.
Правда, сейчас учтены только проекты, размещённые на GitHub. Поэтому в рейтинге есть некоторые перекосы. К примеру, Топ-3 проектов на языке C включает в себя Git и сразу две версии ядра Linux — отдельно для Raspberry Pi и основную ветку. Среди проектов на C++ в тройку лидеров попали TensorFlow, Ceph и PyTorch, а на Java — Elasticsearch, Apache Flink и Spring Boot. Для JavaScript Топ-3 включает Node.js, React Native и React, а для Python — SaltStack, Core Python, pandas. Ну а в случае Rust это Servo, Cargo и Clippy.
Отметим, что подобное решение имеет смысл и в контексте безопасности. Ранее сообщалось, что количество атак с подменой open source кода выросло на 430 %. И дело не в том, что открытый софт хуже проприетарного, а лишь в нехватке возможностей для анализа уязвимостей на этапе разработки и отладки.
