2019 年开源软件发展情况一览-FreeOA

2019 年开源软件发展情况一览

2020-03-17 21:30:26

阿炯

Let's Encrypt 等获得 FSF 颁发的 2019 年度自由软件奖

自由软件基金会(FSF)通过 2020 LibrePlanet 线上会议宣布了 2019 年自由软件奖的获得者，分别是 Let's Encrypt、Jim Meyering 和 Clarissa Lima Borges。FSF 每年都会在 LibrePlanet 会议上将这些奖项授予为软件自由事业做出重大贡献的开发人员和社区成员。

其中，Let's Encrypt 获得了社会公益项目奖。该奖项强调使用自由软件为人类服务，过去的获奖者包括有 OpenStreetMap 和 Public Lab。Let's Encrypt 是一家得到 Mozilla Firefox 和 Google Chrome 支持的、非盈利性的自动化证书颁发机构，旨在让每个网站都能使用 HTTPS 加密。

团队中的站点可靠性工程师 Phil Porada 在代表 Let's Encrypt 团队接受该奖项时表示，“作为制造商，我喜欢拆开东西放回原处。无论是机械、木材还是软件。自由软件使我们能够深入研究系统的内部，并弄清楚其原因和工作方式。只有通过公开、透明和负责任的态度，我们才能学习、提出问题并不断进步。”其项目执行总监 Josh Aas 也补充称，“没有隐私就没有自由，随着 Web 日益成为人们生活的中心，确保百分之一百加密和尊重隐私对一个自由健康的社会至关重要。”

同时，自由软件进步奖则授予了一位知名的自由软件程序员、维护者和作者 Jim Meyering。该奖项以往的获得者包括有 Ruby 编程语言的创造者 Matsuki Yukihiro Matsumoto 和 Software Freedom Conservancy 执行总监 Karen Sandler。此次还新增了一个杰出新自由软件贡献者奖，该奖项被授予给参与了多个 GNOME 应用可用性测试的巴西学生 Clarissa Lima Borges。

2019 年开源软件漏洞增长近 50％

WhiteSource 通过对 650 多个开发人员进行了调查，并从 NVD(Nartional Vulnerability Database)、安全公告、经过同行评审的漏洞数据库、问题跟踪程序等渠道收集了数据之后，整理发布了一份研究报告。该报告显示，2019 年公开的开源软件漏洞数已激增至 6000 多个，同比增长了近 50％。

值得庆幸的是，其中有 85% 的漏洞已被披露，并提供了相应的修复程序。不过报告也指出，遗憾的是，最终只有 84％的已知开源漏洞出现在 NVD 中。且有关漏洞的信息并没有集中在一个位置发布，而是分散在数百种资源中。一旦出现索引编制不正确的状况时，就会使得搜索特定数据变得愈发艰难。

而报告的开源漏洞也中有 45％并未是最初就报告给 NVD 的，许多漏洞是在其他渠道中被报告数月后才在 NVD 中发布。在 NVD 之外报告的所有开源漏洞中，也只有 29％最终被登记在册。研究人员还对 2019 年漏洞排名前七的编程语言进行了比较，并将其与过去十年的数量进行了比较。结果发现，在这几种语言中，历史基础最好的 C 语言占有最高的漏洞百分比。PHP 的相对漏洞数量也在大幅增加，但没有迹象表明其流行度有同样的提升。而 Python 方面，尽管该语言在开源社区中的普及率在持续上升，但其漏洞百分比仍相对较低。

另外该报告还考虑了通用漏洞评分系统(Common Vulnerability Scoring System，CVSS)的数据是否是衡量补漏优先级的最佳标准。CVSS 在过去的几年中已进行了多次更新，以期达到为可对所有组织和行业提供支持的客观可衡量标准。然而在此过程中，它也改变了高严重性漏洞的定义。举例来说就是，此举意味着此前在 CVSS v2 下被定为 7.6 的漏洞，在 CVSS v3.0 标准下就可能被定为 9.8，这也意味着团队会面临着更多的高严重性问题。已有超过 55％的用户具有高严重性或严重性问题。

报告预测，在 2020 年开源软件漏洞的数量还会持续增长。不过与此同时，一些针对开源安全系统的计划也在不断推进。报告作者也总结称，“最重要的一点是，列表中提及的开源项目具有漏洞并不意味着它们就不安全。这仅意味着作为开源项目的用户，您需要了解安全风险，并确保保持开源依赖关系的最新状态。”完整报告地址可以点此查看。