Nel 2020 Google e la Open-Source Security Foundation (OpenSSF) hanno ideato un”punteggio di criticità”per classificare l’importanza/criticità dei progetti open-source. Il punteggio di criticità è un mezzo per quantificare l’importanza di un progetto open source, ad esempio se necessita di finanziamenti o assistenza allo sviluppo. Il punteggio di criticità 2.0 è stato ora pubblicato.
Il punteggio di criticità tiene conto dell’età della base di codice/repository, del conteggio dei contributori, della frequenza di commit, del numero di rilasci nell’ultimo anno, del numero di problemi chiusi e aggiornati negli ultimi 90 giorni, della frequenza dei commenti, il numero di menzioni del progetto nei messaggi di commit e altri parametri per ottenere una rappresentazione numerica compresa tra 0 e 1 per quanto sia critico un progetto secondo questo standard. Il software del punteggio di criticità può calcolare il punteggio in base a un URL del repository GitHub.
Gli obiettivi dichiarati del punteggio di criticità OpenSSF sono:
Generare un punteggio di criticità per ogni progetto open source.
Creare un elenco di progetti critici che la comunità open source dipende da.
Usa questi dati per migliorare in modo proattivo la posizione di sicurezza di questi progetti critici.
Il software Criticality Score è gestito dal gruppo di lavoro”Securing Critical Projects”della Open Source Security Foundation. Tra i progetti in linguaggio C più critici su GitHub ci sono Git, il kernel Linux, PHP, OpenSSL, systemd e curl. Per i progetti più critici scritti da Rust, l’elenco include Rust stesso, Servo, Cargo, analizzatore di ruggine e altri. I progetti PHP più critici includono Symfony, Magento2, Joomla e Laravel Framework. In cima all’elenco delle criticità di Python ci sono artisti del calibro di SaltStack Salt, Home-Assistant Core, CPython, Scikit-Learn e Numpy.
Giovedì è stato rilasciato il punteggio di criticità 2.0 come”rinnovamento”del progetto. Con la v2.0, il software del punteggio di criticità è stato riscritto nel linguaggio di programmazione Go anziché in Python. Ci sono anche varie correzioni, nuove funzionalità e altri miglioramenti a questo software per il punteggio di progetti open source basati sul loro repository GitHub.
Coloro che desiderano saperne di più sul punteggio di criticità 2.0 possono farlo tramite il loro repository OpenSSF GitHub.
