Uygulamaları bulut kaynaklarına ve Python’da yazılanlara bağlamayı amaçlayan açık kaynak bileşenleri, açık kaynak yazılım ekosisteminin en son sıralamasına göre kritik paketler listesini bir üst sıraya taşıdı; bu yeniden sıralama, iyi finanse edilmesi gereken projelerin altını çiziyor. yazılım ekosisteminin güvenliğini artırın.
“Özgür ve Açık Kaynak Yazılım Sayımı” olarak bilinen veri toplama çalışması, açık kaynak projelerini ekosistemlerine, sürüm bilgilerinin dahil edilip edilmediğine ve doğrudan ve dolaylı bağımlılıkların dikkate alınıp alınmadığına bağlı olarak sekiz ilk 500 listede sınıflandırır. hesap. Census III olarak bilinen en son yazılım araştırması, Python yazılımına yönelik paketlerin ve geliştiricileri Amazon’un Elastic Computing Cloud (EC2) araç seti veya Go programlarını Google Cloud’a bağlamak için API gibi belirli bulut hizmetlerine bağlamayı amaçlayan paketlerin bulunduğunu ortaya çıkardı. — çok daha popüler hale geldi ve bu nedenle yazılım geliştirme açısından kritik hale geldi.
Bulutta yerel ve hibrit geliştirme hiçbir şekilde yeni olmasa da, bulut sağlayıcıları geliştiriciler için giderek artan sayıda yazılım geliştirme kiti (SDK) oluşturmuştur. Nüfus sayımını hazırlamak için Harvard Business School ile işbirliği yapan Linux Vakfı’nın açık kaynak tedarik zinciri güvenliği direktörü David Wheeler, bunların yaygın kullanımının, bu araçların kritik yazılım sıralamasında yükselişe geçmesini sağladığını söylüyor.
“Bulut sağlayıcıları çok sayıda özel hizmet sunuyor, ancak bulutun ilk kullanımları pek çok kaldır ve kaydır hareketiydi” diyor. “Giderek artan bir şekilde, insanların özellikle bulut üzerinde çalıştırılması amaçlanan yazılımlar yazdığını görüyoruz. [and there is a] Bu tür paketlerin artan seviyesi — bu dramatik bir şekilde artan bir şey.”
üçüncü “Özgür ve Açık Kaynak Yazılım Sayımı” rapor iki yıldan fazla bir süre sonra geliyor Nüfus Sayımı II’nin Mart 2022’de resmi olarak yayınlanması – bu raporun ilk versiyonu 2020’de ve orijinal nüfus sayımı raporundan dokuz yıl sonra yayınlandı. Veri toplama çalışmaları, kamu ve özel sektörün yazılım güvenliğini iyileştirmenin bir yolu olarak projelere etkili bir şekilde yatırım yapabilmesi için en kritik açık kaynak yazılımı belirlemeyi amaçlamaktadır. Her yazılım paketi, yazılım tedarik zinciri firmaları FOSSA, Snyk, Sonatype ve Synopsys Siber Güvenlik Araştırma Merkezi’nden (CyRC) alınan veriler kullanılarak puanlanıyor.
Yazılım tedarik zincirinin esnekliği artık büyük bir endişe yazılım endüstrisi ve ulusal hükümetler. Örneğin Biden yönetimi bir Ulusal Siber Güvenlik Stratejisi yayınladı. Yazılımın güvenliğini artırmanın yollarını bulmanın altını çizdi ve çoğu uygulamanın dayandığı açık kaynak ekosistemi.
Buluta Kritik Bağlantılar
Boto3 olarak bilinen Amazon Web Services (AWS) Python için yazılım geliştirme kiti, “NPM Olmayan, Doğrudan, Sürüm Agnostik Paketler” listesinde kritik yazılımlar listesinde beşinci sıraya yükseldi. Kütüphane önceki Nüfus Sayımı II’de sıralanmamıştı. Benzer bir paket olan aws-sdk, JavaScript ekosistemi “npm, Direct, Sürüm Agnostik Paketleri” listesinde önceki sayımda 307. sıradan yedinci sıraya yükseldi.
Diğer bulut odaklı paketlerde de benzer sıçramalar görüldü: Go programlarını Google Cloud’a bağlayan yazılım geliştirme kiti sekizinci sırada yer alırken, .NET için AWS kiti 30. sıraya yükseldi. Her ikisi de önceki nüfus sayımında sıralamada yer almamıştı.
Düğüm Paket Yöneticisi (npm) ekosistemi önemli miktarda JavaScript indirmesi gördüğünden (2024’te 4,5 trilyon, Python’da ise 530 milyar). Sonatype’e göre – veriler popülerlik ölçümlerini gölgede bırakıyor. Sonuç olarak, sayım, diğer yazılım ekosistemlerinden npm indirmelerini ayırıyor.
Bir yazılım tedarik zinciri yönetimi şirketi olan Sonatype’in CTO’su ve kurucu ortağı Brian Fox, veriler, açık kaynak yazılımın bulut hizmetlerini destekleyen altyapı açısından kritikliğinin altını çiziyor.
“Açık kaynak her yıl ‘hokey sopası’nın büyümesini görmeye devam ediyor, bu şok edici; gerçekten çok büyük rakamlar görmeye başlıyoruz” diyor. “Nüfus sayımı yapmalarının nedeni bu, çünkü bu şeylere ışık tutmak çok önemli.”
Python 2 Boost Uyumluluk Kitaplığının Tehlikeleri
Güncelliğini yitirmiş yazılımları değiştirmek veya bunlara yama uygulamak, yazılımdaki güvenlik açıklarını ortadan kaldırma çabalarının merkezi odağı haline geldi. Örneğin, son on yılda, Python geliştiricileri ilk olarak 2006’da tanıtılan Python 3’ü kullanmaya yavaş yavaş yöneldiler. Geçen yıl, Python geliştiricilerinin %1’i ana programlama dili olarak Python 2’yi kullandı. 2019’da %13’tenbuna göre JetBrains’in yıllık “Geliştirici Ekosistemi” raporundan veriler.
Sonuç olarak, Census III’e göre Python 2’de yazılan yazılım ile Python 3’teki kod arasında uyumluluğa izin vermek için tasarlanan “Altı” projesi kritik bir yazılım bileşeni haline geldi. Tipik olarak Python sürümleri beş yıl boyunca desteklenir. Şu anda geliştiricilerin %27’si tarafından birincil programlama dili olarak kullanılan ve şu anda en popüler sürüm haline gelen Python 3.11, Ekim 2027’de kullanım ömrünün sonuna ulaşacak. Python 2’nin son sürümü – sürüm 2.7 – Ocak 2020’de ömrünün sonuna ulaştı.
Veriler, geliştiricilerin Python 2’de yazılan bileşenlerle ne sıklıkta karşılaştığını ve onlarla etkileşime girdiğini ele almıyor. Python 3’e yapılan yoğun geçiş, Six’in kullanımını artırıyor çünkü geliştiricilerin Python’un en son sürümünde yazılan programlarda eski kodları kullanması gerekiyor. Buna ek olarak, veri bilimcilerin %29’u ve Web geliştiricilerinin %19’u gibi belirli geliştirici grupları Python 2 kodlarının bir kısmını kullanmaya devam ediyor. geliştirme araçları üreticisi JetBrains’ten veriler.
Linux Vakfı’ndan Wheeler, “Ham sayılara baktığınızda Python 3’ün çok daha yaygın olduğunu, ancak Python 2’nin çeşitli belirli alanlarda hala yaygın olarak kullanıldığını görürsünüz, bu nedenle Six daha fazla karşımıza çıkıyor” diyor. “Sonunda bu kadar çok daha fazla Python 3 kullanıcısı elde edebilmemizin nedeninin 2’den 3’e geçiş köprüsünün daha kolay olması olduğunu düşünüyorum.”
Sonatype’s Fox, Census III’ün Linux Vakfı’ndan indirilebilmesine rağmen şirketlerin paket yönetimlerini otomatikleştirmeleri ve yazılımlarını düzenli olarak test edip güncellemeleri gerektiğini söylüyor. Nüfus sayımından alınacak asıl ders, hangi paketlere en fazla dikkat edilmesi gerektiği değil, hangi projelerin ek fonlara ve ücretli bakımcılara ihtiyaç duyduğudur.
“Sürdürülebilirliği [open source ecosystem] akılda tutulması gereken bir şey” diyor. “Kritik yazılımların bakımı için giderek daha fazla yaşlanan ve ücretsiz iş gücüne bağımlı hale geliyoruz; bu iki şeyin sonu iyi olmuyor.”