近来，Linux基金会发布了一份陈述（），该陈述供给了对安排运用最多的前500个开源库的八个列表，以更好地维护软件供应链。

  《自在和开源软件-运用程序库普查II》陈述依据Snyk、Synopsys网络安全研讨中心（CyRC）和FOSSA等软件组成分析（SCA）东西供货商的运用数据。该陈述由哈佛立异科学实验室（Harvard Lab for Innovation Science）编写。

  这八个列表由四个包含版别号的列表和四个版别不可知的列表组成。这些列表分为npm和非npm包，由于npm包将主导任何创立的排名。现在运用的尖端非npm软件包包含maven、nugget、Go和cargo。

  哈佛商学院（Harvard Business School）助理教授Frank Nagle表明，该陈述旨在为公司能够供给一些辅导，让企业了解在Java运用程序中办理日志的广泛运用的Log4j软件最近发现了哪些缝隙，而这些缝隙又是怎么样去运用开源软件包的。

  受该缝隙影响的许多安排都不知道Log4j在其企业IT安排中的布置有多广泛。IT安排应该依据致力于保证这些库安全的贡献者和维护者的数量来评价这些项目的可持续性。

  Nagle指出，最大的应战之一是找到一种方法来标准化软件组件的命名方式，并对不同库的版别做全面办理。

  Nagle指出，终究的方针是压服更多的企业IT安排和支撑它们的供货商供给更多资源来维护这些库。大多数运用最广泛的开源软件都是由少量贡献者开发和维护的。许多贡献者以为，尽管他们免费供给该软件，但运用该软件的安排有职责保证其安全。

  Linux基金会正在成为一个管道，经过它，将有更多的资源来协助更好地维护开源软件。早一点的时分，Linux基金会保管的开源安全基金会（OpenSSF基金会）宣告，19个新安排参加OpenSSF，以协助辨认和修正开源软件中的安全缝隙，并改善东西、训练、研讨、最佳实践和缝隙发表实践。

  OpenSSF的履行董事Brian Behlendorf说，除了供给资源外，明显还需要对开源软件进行某种方式的第三方审计，由于各安排正在其软件供应链中更广泛地运用该软件。

  OpenSSF领导的其他尽力包含一个Alpha Omega项目，以更好地维护开源安全态势，辨认100多万个项目中依靠联系危险的记分卡、多要素身份验证令牌，以及一个签名、验证和维护开源代码的Project Sigstore方案。

  开源软件要到达IT职业所寻求的安全水平，或许还需要一段时间。但是，现在有这么多资源投入以完成这一方针，未来可期。回来搜狐，检查更加多