查找关键的开源项目

2020-12-11 10:31:48

开源软件(OSS)长期以来遭受着公地的悲剧。问题。不论大小,大多数组织每天都使用开源软件来构建现代产品,但是许多OSS项目都在为所需的时间,资源和关注而苦苦挣扎。这是一个资源分配问题,作为开放源代码安全基金会(OpenSSF)的一部分,Google可以帮助共同解决它。我们需要将所有我们依赖的关键开源项目与可以为其提供足够支持的组织联系起来的方法。

开源项目的重要性很难定义。对于一个开源软件使用者来说,可能是至关重要的依赖关系,而对于另一个开源软件使用者,则可能完全不存在。但是,达成共识和框架可以使我们就依赖项进行富有成效的对话。简而言之,我们将关键性定义为项目的影响力和重要性。为了使OpenSSF资助这些关键的开源项目,首先需要确定它们。为此,我们发布了一个新项目-OpenSSF下的“关键评分”。关键性得分表示项目的关键性(0到1之间的数字),并且以全自动方式从各种项目使用情况指标得出。我们的初始评估指标包括项目的年龄,参与的个人贡献者和组织的数量,用户的参与度(根据新的问题请求和更新),以及使用提交提及对其依赖关系的粗略估计。我们还提供一种添加您自己的指标的方法。例如,您可以添加内部项目使用情况数据,以针对个性化优先级需求重新调整项目的关键性得分。识别这些关键项目只是改进安全性的第一步。 OpenSSF还正在探索为这些项目的维护者提供所需资源的方法。如果您是关键软件包的维护者,并且有兴趣获得帮助,资金或基础结构来运行您的项目,请在此处与OpenSSF的“确保关键项目”工作组联系。在GitHub上查看Criticality Score项目,包括重要的开源项目列表。尽管我们在此问题上取得了一些进展,但我们尚未解决,并渴望获得社区的帮助,以完善这些指标以识别关键的开源项目。

作者:Abhishek Arya,Kim Lewandowski,Dan Lorenc和Julia Ferraioli – Google开源