O mundo do open source tem experimentado uma tendência preocupante. De acordo com a mais recente análise da Sonatype, uma empresa líder em gestão da cadeia de fornecimento de software, a manutenção ativa em projetos open source está em declínio.
Principais descobertas da pesquisa da Sonatype:
- Dos quase 1,2 milhão de projetos open source analisados, somente cerca de 11% estão sendo ativamente mantidos.
- Houve um declínio de 18% este ano em projetos ativamente mantidos.
- 18,6% dos projetos de Java e JavaScript mantidos em 2022 já não estão mais sendo mantidos.
A pesquisa cobriu quatro principais ecossistemas: JavaScript, através do NPM; Java, pelo Maven; Python, pelo PyPI; e .NET, pelo NuGet. Alguns projetos em Go também foram incluídos. Notavelmente, projetos open source consistentemente mantidos superam seus pares em melhores práticas críticas para a segurança de software.
Por que isso é importante?
A manutenção adequada de projetos de software é crucial para garantir que as vulnerabilidades sejam corrigidas e que o software permaneça atualizado. A pesquisa também revelou que:
- 67% dos entrevistados acreditam que suas aplicações não dependem de bibliotecas vulneráveis conhecidas.
- Quase 10% enfrentaram violações de segurança devido a vulnerabilidades de open source nos últimos 12 meses.
- 39% das organizações identificam vulnerabilidades em um período de um a sete dias, enquanto 29% demoram mais de uma semana. Além disso, 39% necessitam de mais de uma semana para mitigar essas vulnerabilidades.
Outros insights notáveis incluem:
- O uso de componentes de software de inteligência artificial e aprendizado de máquina cresceu impressionantes 135% no último ano.
- Um em cada oito downloads open source possui um risco conhecido, no entanto, 96% dos lançamentos vulneráveis baixados já possuem uma versão corrigida disponível.
- A taxa de crescimento nos downloads de open source tem desacelerado nos últimos dois anos.
A tendência declinante na manutenção de projetos open source é uma chamada de atenção para desenvolvedores, empresas e a comunidade como um todo. É crucial que continuemos a apoiar e manter os projetos open source para garantir a segurança e a eficácia do software que o mundo confia todos os dias.
Fonte: https://www.sonatype.com/hubfs/9th-Annual-SSSC-Report.pdf
Sou um profissional na área de Tecnologia da informação, especializado em monitoramento de ambientes, Sysadmin e na cultura DevOps. Possuo certificações de Segurança, AWS e Zabbix.