Bajan notablemente los proyectos open source con un mantenimiento adecuado

Según el informe anual State of the Software Supply Chain, cuya novena edición acaba de ver la luz, el número de proyectos open source que cuentan con un mantenimiento adecuado no solo ha descendido de manera notable en el último año, sino que los que lo tienen son una minoría bastante escasa del total existente.

En efecto, el informe, elaborado por la compañía de gestión de la cadena de suministro de software Sonatype, señala que solo el 11% de los proyectos analizados para su creación se mantienen de manera activa. Y han analizado cerca de 1,2 millones de proyectos. En concreto, 1.176.407. Afortunadamente, algunos proyectos que en 2022 no contaban con mantenimiento, sí lo tiene de nuevo en 2023.

Los proyectos analizados para el informe pertenecen a cuatro ecosistemas de desarrollo: JavaScript, a través de NPM; Java, a través de la herramienta de gestión de proyectois Maven; Python, a través de la lista de paquetes PyPI; y .NET, a través de la galería NeGet. Además, también se incluyeron en el estudio varios proyectos desarrollados con Go.

Entre los datos que ha señalado el informe está el hecho de que el 18,6% de los proyectos con Java y JavaScript que contaban con mantenimiento en 2022 ya no lo tienen en 2023. Eso sí, los proyectos open source que cuentan con un mantenimiento consistente mejoran al resto en cuanto al uso de las mejores prácticas para la seguridad del software.

Además de los proyectos, para la elaboración del informe también se han tenido en cuenta datos y análisis públicos y propietarios, entre los que hay patrones de actualización de dependencia para más de 400.000 millones de descargas de Maven Central, así como para miles de proyectos open source. También incluye resultados de encuestas realizadas entre 621 profesionales de la ingeniería, y tendencias de seguridad de los cuatro principales ecosistemas de software.

Un 67% de los participantes en las encuestas aseguraron que no creen que sus aplicaciones dependan de librerías vulnerables conocidas, y otro 10% han informado de brechas de seguridad por vulnerabilidades open source en los últimos 12 meses.

Un 39% de las organizaciones descubren vulnerabilidades entre uno y siete días después de su aparición. Un 29% tardan más de una semana y un 28% las descubren en las primeras 24 horas. En cuanto a la mitigación de las mismas, un 39% necesita más de una semana para conseguirlo.

Una de cada ocho descargas tenía un riesgo conocido, pero el 96% de los lanzamientos vulnerables contaba con una versión disponible que incorporaba el problema resuelto. Por otro lado, el uso de la Inteligencia Artificial y de componentes software relacionados con ella y con el machine learning en entornos de empresa ha aumentado un 135% en el último año.