Per Software Composition Analysis (SCA) si intende una metodologia e un insieme di strumenti progettati per identificare, analizzare e gestire i componenti utilizzati in un’applicazione software. Nel contesto open-source la SCA si applica all’identificazione del codice aperto che fa parte dei software, con l’obiettivo di garantire che i componenti utilizzati siano sicuri, conformi e aggiornati.
La precisazione è d’obbligo per comprendere il senso del report pubblicato dalla Linux Foundation insieme al Laboratorio per l’Innovazione Scientifica di Harvard e raccontato da DevOps.com che mostra lo stato dei software attualmente sulla piazza e le sfide fondamentali che le comunità open-source devono affrontare a gestirli.
Il report, il cui titolo è “Census III of Free and Open Source Software – Application Libraries“, ha una sua valenza per l’ambito open-source poiché, oltre ad essere basato su oltre 12 milioni di osservazioni, rivela come il 96% del codice utilizzi software open-source.
A farla da padrone, manco a dirlo, sono pacchetti npm come react.dom, react, lodash, axios ed express, tra i più utilizzati nel contesto web attuale.
Il rapporto mostra un aumento dei pacchetti specifici per i servizi cloud e un incremento nell’uso di pacchetti NuGet e Python (con una transizione crescente da Python 2 a Python 3) e l’adozione di Rust per creare software sicuro per la memoria.
Nonostante sia chiaramente complicato raccogliere dati precisi (a causa della mancanza di standard nei nomi degli schemi) uno dei problemi che emerge con maggiore chiarezza è che la maggior parte dei pacchetti è mantenuta da pochi contributori, ed è ancora nella memoria di tutti il pasticcio XZ che abbiamo raccontato quest’anno.
L’articolo chiude con le parole di David Wheeler, direttore della sicurezza della supply chain open-source della Linux Foundation, il quale sottolinea come, nonostante questi problemi, la dipendenza dal software open source non diminuirà.
Ma è ovvio come sia necessario regolamentare più attivamente la manutenzione e sicurezza del software. Il rapporto fornisce valutazioni di sicurezza basate sul framework sviluppato dalla Open Source Security Foundation (OpenSSF) per ridurre i rischi di sicurezza, motivando le organizzazioni IT a contribuire ai progetti open-source più critici per le loro esigenze.
Inutile affermare ancora una volta come la sicurezza perfetta sia irraggiungibile, ma i fatti lo dimostrano: una gestione più attenta, in particolare delle dipendenze, è certamente una delle chiavi del tanto bramato shift-left!
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
English (US)