Недавний анализ почти 1,2 млн проектов программного обеспечения с открытым исходным кодом в четырех основных экосистемах показал, что только около 11% проектов по-прежнему активно поддерживаются. В своем девятом ежегодном отчете компания Sonatype, оценив 1 176 407 проектов, сообщила о снижении в этом году уровня активной поддержки на 18%. Лишь 11% проектов (118 028) могут сегодня похвастаться активным техническим сопровождением. При этом некоторые новые проекты, которые не поддерживались в 2022 году, в настоящее время поддерживаются. К четырем упомянутым экосистемам относятся JavaScript (NPM), Java (Maven), Python (PyPI) и .NET (NuGet). Исследователями рассматривались также некоторые проекты Go. Из тех проектов на Java и JavaScript, которые поддерживались в 2022 году, 18,6% сегодня больше не поддерживаются.
В отчете приводятся также следующие результаты.
— 67% респондентов не придают особого значения тому, что их приложения обращаются к библиотекам, в которых присутствуют известные уязвимости. Почти 10% сообщили об обнаружении за последний год брешей в системе безопасности.
— У 39% организаций на обнаружение уязвимости уходит от одного дня до недели, 29% требуется больше недели, а 28% выявляют их в течение дня. Если же говорить о ликвидации последствий, то 39% на устранение уязвимостей затрачивают больше недели.
— За последний год объемы использования программных компонентов искусственного интеллекта и машинного обучения в корпоративной среде выросли на 135%.
— Известные риски были обнаружены у каждого восьмого источника, но в 96% случаев выявленная уязвимость уже закрыта в исправленной версии.
— В последние два года число загрузок приложений с открытым исходным кодом по-прежнему растет, но более медленными темпами.