根據最新發布的第三次自由和開源軟件(FOSS)普查報告顯示，開源組件已成為現代應用的基石，96% 的代碼庫中存在開源組件。

　　報告簡介

　　IT之家注：該報告全稱為《Census III of Free and Open Source Software》，由哈佛商學院、哈佛大學創新科學實驗室(LISH)、Linux 基金年研究部以及開源安全基金會(OpenSSF)聯合發布。

　　該研究建立在前兩次普查的基礎上，不再局限于操作系統庫，而是考察構成現代軟件基石的應用程序級組件。

　　本次報告分析了超過 1 萬家公司、1200 萬條 FOSS 使用數據，哈佛大學-Linux 基金會研究團隊還和 FOSSA、Snyk、Sonatype 和 Synopsis 等軟件成分分析(SCA)公司合作，整合了來自多個平臺的匿名數據。

　　分析內容包括對生產代碼庫的自動掃描和對軟件組件的全面人工審計，從而深入了解 FOSS 軟件包的直接使用情況及其在整個軟件供應鏈中的間接依賴關系。

　　報告內容：

　　研究發現，96% 的代碼庫包含開源組件，凸顯了開源軟件在當今數字經濟中的核心地位。

　　報告還指出，云服務專用軟件包的使用量顯著增長。OpenSSF 的開源供應鏈安全總監 David Wheeler 認為，這表明軟件開發模式正從“直接遷移”轉向“云原生開發”，即專門為云環境和特定云服務構建應用。

　　報告揭示了一些潛在的安全風險：

　　行業內仍廣泛使用過時的 Python 2，部分行業占比高達 20-30%。

　　40% 的頂級開源項目僅由一兩位開發者維護，例如 XZ Utils 事件暴露了單一維護者項目易受社會工程學攻擊的風險。

　　軟件組件缺乏標準化命名也增加了安全風險。

　　OpenSSF 為了應對這些挑戰，正致力于強化構建和分發流程，例如通過 SLSA 和 Sigstore 項目確保代碼安全，同時報告也建議開發者簡化版本更新流程，并優先考慮向后兼容性，以降低安全風險。