Max Home IndustryGoogle, как часть Фонда безопасности с открытым исходным кодом, выпустила новый проект с открытым исходным кодом, который измеряет критичность проектов с открытым исходным кодом. Это первый шаг на пути к обеспечению того, чтобы проекты, на которые в значительной степени полагаются, получали необходимые им ресурсы.
Эта инициатива была недавно анонсирована в блоге Google с открытым исходным кодом Абхишеком Арьей, Кимом Левандовски, Дэном Лоренцем и Джулией Феррайоли, некоторые из которых являются членами рабочей группы по обеспечению безопасности критических проектов, сопровождающими проекты оценки критичности и включают нынешних участников.
Мотивация проекта, которая иллюстрируется этим культовым мультфильмом xkcd, заключается в том, что, хотя в настоящее время организации в подавляющем большинстве полагаются на проекты с открытым исходным кодом, многие из проектов борются за время, ресурсы и внимание, необходимые для их поддержания.
Больше мультяшного веселья в веб-комиксе о романтике,сарказме, математике и языке
Как указано как в блоге, так и в README репо по обеспечению безопасности критических проектов на Github, это проблема распределения ресурсов, и необходимо связать критические проекты с организациями, которые могут оказать им поддержку.
Проект оценки критичности, находящийся в бета-версии на GitHub, имеет три цели:
Создайте оценку критичности для каждого проекта с открытым исходным кодом.
Создайте список важных проектов, от которых зависит сообщество с открытым исходным кодом.
Используйте эти данные для упреждающего повышения уровня безопасности этих критически важных проектов.
Оценка сама по себе определяет влияние и важность проекта и представляет собой число от 0 (наименее критическое) до 1 (наиболее критическое). Алгоритм, разработанный Робом Пайком, таков::
Параметры, которые он использует, включают количество участников проекта, которые совершают коммиты — с весом 2 и частотой коммитов/частотой комментариев — с весом 1. Период времени, в течение которого проект был создан в месяцах (с порогом в 10 лет), также имеет вес 1, в то время как время, прошедшее с момента последнего обновления проекта, снова в месяцах и с тем же порогом, взвешивается -1. Смотрите проекты README.md для полного списка и для кода для его запуска.
Все, что требуется для получения оценки критичности проекта, — это название его репо.
Уже подсчитаны критические баллы, и есть тридцать два проекта с баллами выше 0,85:
Kubernetes занимает первое место, за ним следуют Tensorflow и Git. На 4-м месте мы определенно набрали, затем на 5-м и 6-м есть две версии Linux, причем версия Raspberry Pi немного опережает оригинальное ядро Linux.
Поскольку это проект с открытым исходным кодом, он может быть разветвлен, чтобы добавить параметры изменения их веса. Важно то, что мы знаем, какие проекты являются наиболее важными, и Фонд безопасности с открытым исходным кодом может предпринять шаги, чтобы обеспечить их будущее.