Google представил рейтинг критически важных открытых проектов

Kate

Administrator
Команда форума
Компания Google предложила систему для ранжирования открытых проектов по степени их важности для отрасли. Рейтинг поможет выделить критические важные проекты от которых многое зависит, и которым в первую очередь необходимо предоставить ресурсы на сопровождение, разработку и обеспечение безопасности. При помощи указанного рейтинга организации, готовые предоставить помощь и поддержку разработки, смогут определить проекты, заслуживающие первоочередного внимания.
Так как важность проекта величина не очевидная и для разных областей могут применяться разные критерии, Google предложил использовать уровень критичности (Criticality Score), для расчёта которого задействован алгоритм, предложенный известным программистом Робом Пайком (Rob Pike), стоявшим у истоков Unix, Plan 9, Inferno и UTF-8. Алгоритм учитывает 10 весовых коэффициентов, на основе которых рассчитывает уровень важности в диапазоне от 0 (наименее критичный) до 1 (наиболее критичный).

При расчёте учитывается число зависящих проектов (ключевой параметр, вес 2), число принявшие участие разработчиков (ключевой параметр, вес 2), время существования проекта (1), время последнего обновления (-1), число поддерживающих проект организаций (1), среднее число изменений в год (1), чисто комментариев при обсуждении проблем (1), число релизов в год (0.5), число закрытых и обновлённых сообщений об ошибках за последние 90 дней (0.5). При желании организации могут добавить дополнительные критерии, на основе своих предпочтений, или изменить значение предложенных весовых коэффициентов. Рейтинг вычисляется полностью автоматизированно специально подготовленной утилитой criticality_score на основе информации из репозитория проекта.
Мэйнтейнеры проектов, отмеченных как критически важные, имеют возможность обратиться в организацию OpenSSF (Open Source Security Foundation), в случае необходимости предоставления помощи, ресурсов, финансовой поддержки или элементов инфраструктуры. В настоящее время выделено несколько категорий критически важных проектов, разделённые в зависимости от используемого языка программирования:


Проекты на языке Си.Проекты на языке C++.Проекты на языке Java.Проекты на языке JavaScript.Проекты на языке Python.Проекты на языке Rust.

git
ядро linux
php-src
openssl
systemd
curl
u-boot
qemu
mbed-os
zephyr
astropy
redis
gnucash
openwrt
esp-idf
RIOT
libuv
bcc
util-linux
ompi
RetroArch
lxc
FreeRDP
glusterfs
spdk
darktable
obs-studio
frr
urbit
FFmpeg
ovs
ImageMagick
freebsd
fio
libwebsockets
edk2
zfs
gpdb
kamailio
haproxy
netdata
mbedtls
fluent-bit
ltp
micropython
wazuh
rsyslog
CMake
mpv
fwupd
janus-gateway
vlc
wine
lede
tmux
s2n
criu
OpenSC
arduino-esp32
betaflight
dpdk
rt-thread
radare2
firmware
Tasmota
zsh
jemalloc
mruby
keepalived
flatpak
gpac
libvips
gcc
oj
blender
gimp
syslog-ng
rhodes
lightning
yugabyte-db
librdkafka
i3
HandBrake
freeradius-server
panda
neomutt
zstd
Espruino
ctags
libusb
amazon-freertos
strongswan
h2o
collectd
defold
coreboot
lvgl
libpcap
paparazzi
httpd
varnish-cache
memcached
citus
pygit2
phpredis
cinnamon
source
scrcpy
open62541
ponyc
libevent
wireshark
xrdp
postgres
xxHash
rspamd
reactos
inav
stlink
src
fontforge
goaccess
libsodium
weechat
openssh-portable
seL4
suricata
libarchive
raylib
lua-nginx-module
wlroots
dynamorio
Remmina
oniguruma
rtl_433
igraph
arm-trusted-firmware
nnn
data.table
lz4
bdwgc
tcpdump
sleuthkit
klipper
nodemcu-firmware
scancode-toolkit
nodemcu-firmware
irssi
uwsgi
libffi
openvpn
coreutils
borg
go-sqlite3
nuster
ultrajson
cc65
nDPI
yara
stellar-core
CMSIS_5
audacity
TDengine
aircrack-ng
nanopb
honggfuzz
geany
capstone
timescaledb
civetweb
xmake
libfuse
dokany
sysstat
i3
json-c
janet
hiredis
iperf
openwrt
libjpeg-turbo
mosquitto
cleanflight
PF_RING
simh
unicorn
mtr
nginx
hashcat
RediSearch
pygame
zinit
motion
greenlet
firejail
skynet
rt-n56u
rubinius
userland


tensorflow
ceph
pytorch
bitcoin
electron
Marlin
Cataclysm-DDA
llvm-project
rocksdb
QGIS
grpc
opencv
envoy
ardupilot
xbmc
server
emscripten
arrow
vcpkg
godot
tdesktop
mongo
solidity
arangodb
incubator-mxnet
ClickHouse
gdal
hhvm
nix
xgboost
zcash
v8
root
qgroundcontrol
wxWidgets
drake
TrinityCore
mixxx
folly
z3
librealsense
scylla
rpcs3
mlpack
cgal
swoole-src
scummvm
Arduino
harfbuzz
fmt
mame
Halide
protobuf
thrift
pdns
pcl
assimp
zeek
hpx
pybind11
cudf
doxygen
openmw
minetest
terminal
ppsspp
swig
proxygen
cocos2d-x
wesnoth
PrusaSlicer
supercollider
imgui
Catch2
libzmq
googletest
PowerToys
fbthrift
gnuradio
kakoune
DeepSpeech
cppcheck
mumble
LightGBM
FreeCAD
benchmark
lmms
botan
foundationdb
node-sass
eos
crawl
Urho3D
stellarium
spdlog
glslang
opentx
domoticz
OpenRCT2
serving
mysql-5.6
json
flatbuffers
openthread
openscad
watchman
apollo
passenger
osquery
Magisk
libtorrent
qBittorrent
vnpy
libigl
ardour
mysql-server
AirSim
mapbox-gl-native
bgfx
keepassxc
oneflow
openFrameworks
openpilot
notepad-plus-plus
rust-bindgen
subsurface
catboost
icinga2
PX4-Autopilot
stk-code
QuantLib
or-tools
react-native-windows
MuseScore
shogun
mesos
Clementine
srsLTE
CopyQ
openvino
dlib
falco
rippled
bullet3
ethminer
duckdb
esphome
carla
sqlitebrowser
omim
qt-creator
bpftrace
citra
GDevelop
tiled
dolphin
newsboat
opencv_contrib
jsoncpp
rathena
serenity
cvxpy
QOwnNotes
uncrustify
yoga
i2pd
proxysql
filament
RawTherapee
taichi
Cinder
glow
znc
ncnn
ogre
tesseract
onnxruntime
fivem
VTK
KeyDB
yosys
shotcut
xmrig
monero
skia
ModSecurity
tigervnc
yuzu
DALI
wangle
OpenShadingLanguage
ninja
codelite
osrm-backend
seastar
dxvk
node-canvas
abseil-cpp



elasticsearch
flink
spring-boot
hadoop
netty
jenkins
beam
bazel
alluxio
pmd
jdk
ballerina-lang
cas
spring-framework
camel
selenium
closure-compiler
quarkus
nokogiri
kafka
hazelcast
robolectric
presto
spring-security
NewPipe
mockito
platform_frameworks_base
jackson-databind
hbase
okhttp
checkstyle
pulsar
jetty.project
rstudio
hibernate-orm
tomcat
Activiti
openapi-generator
neo4j
zeppelin
cassandra
micronaut-core
Anki-Android
hive
cucumber
Mindustry
orientdb
dropwizard
che
junit5
testcontainers-java
jOOQ
lucene-solr
openj9
buck
ignite
RxJava
metrics
libgdx
dubbo
javaparser
shardingsphere
flyway
litho
dbeaver
k-9
groovy
aws-sdk-java
languagetool
keycloak
skywalking
graylog2-server
redisson
guava
debezium
android
drools
graal
grpc-java
java-design-patterns
lombok
pentaho-kettle
zookeeper
nacos
crate
storm
AntennaPod
reactor-core
zaproxy
runelite
ExoPlayer
fastjson
realm-java
h2database
druid
conductor
apollo-android
wildfly
FrameworkBenchmarks
cordova-android
armeria
flowable-engine
capacitor
material-components-android
Terasology
OpenRefine
Arduino
gocd
async-http-client
druid
micrometer
DependencyCheck
Signal-Android
vespa
thingsboard
eureka
MinecraftForge
junit4
zipkin
antlr4
Java
java-tron
spring-cloud-netflix
XChange
bisq
processing
kylin
resilience4j
mybatis-plus
hutool
guice
aeron
shiro
byte-buddy
jmeter
vert.x
mybatis-3
smile
spring-cloud-gateway
graphhopper
picocli
arthas
wiremock
swagger-core
jmonkeyengine
incubator-dolphinscheduler
apollo
jna
web3j
fresco
atmosphere
android-maps-utils
react-native-push-notification
aws-doc-sdk-examples
lottie-android
FirebaseUI-Android
CoreNLP
xxl-job
halo
springfox
spring-boot-admin
spock
HikariCP
auto
opengrok
Sentinel
traccar
lettuce-core
gson
cryptomator
error-prone
feign
CS-Notes
retrofit
incubator-pinot
mapstruct
jib
frontend-maven-plugin
react-native-camera
janusgraph
rest-assured
rocketmq
spark
immutables
Java-WebSocket
sonarqube
glide
undertow
mockserver
karate
jedis
spring-cloud-alibaba
YCSB
ksql
seata
JavaGuide
JSON-java
canal
zuul
graphql-java


node.js
react-native
react
gatsby
three.js
bootstrap
material-ui
odoo
next.js
Rocket.Chat
cypress
amphtml
create-react-app
meteor
vue-cli
jupyterlab
sequelize
phaser
browser-compat-data
material
quasar
iD
highlight.js
reaction
taro
Chart.js
knex
etherpad-lite
eslint-plugin-react
reveal.js
zigbee2mqtt
angular.js
shields
svelte
p5.js
openlayers
web3.js
wekan
aframe
ember-cli
karma
react-router
video.js
react-testing-library
marked
js-ipfs
preact
brave-browser
request
vuepress
vue-router
acorn
discord.js
sweetalert2
js.org
html-webpack-plugin
terser
graphql-js
vue
core-js
ava
styled-components
javascript
caniuse
sharp
dayjs
draft-js
outline
date-fns
validator.js
standard
underscore
commander.js
react-table
UglifyJS
swiper
standard
grommet
browserslist
handsontable
vuex
webtorrent
engine
jquery-ui
webpack-bundle-analyzer
dash.js
vue-i18n
sandstorm
ag-grid
bootstrap-table
lerna
gridsome
uppy
RSSHub
Modernizr
mini-css-extract-plugin
TiddlyWiki5
nodemailer
Semantic-UI-React
uni-app
laravel-mix
hapi
realm-js
deck.gl
npm-check-updates
yup
react-dropzone
cytoscape.js
select2
koa
bpmn-js
release-it
alpine
summernote
d3
fetch
hiring-without-whiteboards
pouchdb
nightwatch
jss
agenda
agenda
OpenAPI-Specification
plyr
node-http-proxy
appwrite
gulp
Fuse
quill
workbox
less.js
joi
Inquirer.js
conventional-changelog
async
portainer
mjml
riot
egg
codesandbox-client
mustache.js
swagger-editor
zotero
laravel-cors
KaTeX
marko
reactivesearch
reactivesearch
inferno
thelounge
beef
cz-cli
react-native-gesture-handler
jsdoc
sheetjs
browser-sync
tsdx
noVNC
popper-core
trilium
faker.js
brackets
loopback
bootswatch
vue-select
exceljs
browserify
postgraphile
react-jsonschema-form


salt
core
pandas
scikit-learn
numpy
cpython
airflow
erpnext
matplotlib
pytest
pip
sympy
compose
rasa
sentry
celery
models
sphinx
Paddle
django
synapse
electrum
zulip
numba
rq
cython
dask
django-rest-framework
ipython
requests
moto
moto
bokeh
ray
ckan
youtube-dl
mypy
wagtail
incubator-superset
saleor
aws-cli
xonsh
pylint
certbot
werkzeug
cupy
hypothesis
pyramid
scikit-image
cryptography
cryptography
isort
aiohttp
dvc
Python
flask
qutebrowser
spyder
boto3
espnet
pyinstaller
fairseq
netbox
twisted
jupyterhub
cookiecutter-django
locust
tribler
pytorch-lightning
pipenv
mmdetection
django-extensions
mitmproxy
jumpserver
psutil
statsmodels
docker-py
fastapi
scrapy
prefect
beets
pre-commit
django-allauth
nltk
poetry
kitty
black
Nuitka
detectron2
optuna
node-gyp
jax
ambassador
Telethon
supervisor
streamlink
redis-py
incubator-tvm
ParlAI
jinja
qiskit-terra
PySyft
allennlp
tqdm
faker
chainer
marshmallow
django-debug-toolbar
pytorch_geometric
CppCoreGuidelines
google-api-python-client
st2
pelican
plotly.py
fail2ban
lutris
luigi
gensim
mycroft-core
mongoengine
tornado
sqlmap
networkx
calibre
sqlalchemy
thumbor
ignite
scapy
elastalert
localstack
great_expectations
freqtrade
gym
sigma
graphene-django
dash
you-get
pytext
python-for-android
OctoPrint
documentation
gunicorn
httpx
discord.py
attrs
OCRmyPDF
d2l-en
click
pytube
sanic
paramiko
XX-Net
Python
kinto
hosts
serverless-application-model
trio
arrow
bottle
django-crispy-forms
uvicorn
horovod
patroni
pycodestyle
datasette
healthchecks
public-apis
graphene
toml
python
docker-stacks
zipline
starlette
brython
pwntools
yapf
spotipy
Flask-AppBuilder
mongo-python-driver
spiderfoot
glances
sshuttle
pgcli
manim
angr
folium
python-prompt-toolkit
chalice
recommenders
webpy
auto-sklearn
kafka-python
rich
Zappa
pyro
moviepy
ranger
flair
Flask-SocketIO


servo
cargo
rust-clippy
tokio
rust-analyzer
tock
tikv
alacritty
libc
substrate
rustfmt
solana
webrender
crates.io
actix-web
hyper
eden
wasmtime
habitat
libra
clap
pyo3
amethyst
serde
wasmer
rustup
json
rust-openssl
winit
ripgrep
stacks-blockchain
vector
starship
diesel
wasm-bindgen
chrono
coreutils
rand
reqwest
image
cc-rs
futures-rs
nix
Rocket
core-foundation-rs
gleam
nushell
firecracker
rayon
polkadot
tree-sitter
rust-url
crossbeam
tracing
i3status-rust
miri
gfx
wrangler
git2-rs
trust-dns
indy-sdk
cbindgen
rustlings
MeiliSearch
bat
syn
regex
grin
rhai
actix
tarpaulin
tokei
wgpu
rust-postgres
wezterm
cargo-make
sentry-cli
lighthouse
bevy
swc
materialize
ckb
shadowsocks-rust
yew
actix-net
sqlx
rust
tide
mio
nom
zola
sled
cortex-m
LanguageClient-neovim
juniper
parking_lot
rust-bitcoin
nalgebra
redis-rs
rls
async-std
kube-rs
geo
broot
fd
rust-smallvec
exa
warp
veloren
log
structopt
rust-libp2p
hashbrown
uuid
orbtk
delta
rust
imageflow
lemmy
RustPython
itertools
linkerd2-proxy
racer
mailchecker
cloud-hypervisor
num
crossterm
tauri
probe-rs
libhermit-rs
tantivy
chalk
sccache
async-graphql
rusoto
tokenizers
handlebars-rust
toml-rs
spotifyd
holochain-rust
tonic
rustyline
rust-bio
awesome-rust
optic
pulldown-cmark
serenity
h2
boa
quiche
abstreet
spotify-tui
bottlerocket
neon
graph-node
quick-xml
ggez
glium
lapin
differential-datalog
just
combine
rustls
rust-protobuf
rust-rocksdb
tarpc
ncspot
conrod
ruffle
hashes
PyOxidizer
cursive
maturin
cargo-audit
topgrade
glutin
imgui-rs
nannou
ZoKrates
996.ICU
fnm
embedded-hal
ffsend
nearcore
lsd
tower
piston
curl-rust
bitflags
rust-sdl2
tui-rs
electrs
skim
reference
rust-csv
ureq
rusty_v8
gitui
rust-mysql-simple
incubator-teaclave-sgx-sdk


  1. Главная ссылка к новости (https://opensource.googleblog....)
  2. OpenNews: Учреждён проект OpenSSF, сфокусированный на повышении безопасности открытого ПО
  3. OpenNews: Организация Linux Foundation представила платформу для критически важных технических систем
  4. OpenNews: Рейтинг библиотек, требующих особой проверки безопасности
  5. OpenNews: Rust вошёл в 20 самых популярных языков по рейтингу Redmonk
  6. OpenNews: Си и Python сместили Java в рейтинге языков программирования Tiobe
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/54242-openssf
Ключевые слова: openssf
При перепечатке указание ссылки на opennet.ru обязательно




  • 1.1, Аноним (1), 15:43, 11/12/2020 [ответить] [﹢﹢﹢] [ · · · ] [] [к модератору]
    !*!
–2 +/
А где php?
+3 +/
>А где php?
на 3м месте же... поржал )
–2 +/
Проекты на языке PHP
+/
Любой проект на PHP - менее критичен чем JavaGuide (по мнению гугла).
+2 +/
а где же велекие языки такие как ФОРТРАН, ПЕРЛ И АДА?
+/
Почему под гугловский же golang не сделали столбец, вот что интересно (нет).
–1 +/
> А где php?
да на#$% твой php.
Увидел в
> Проекты на языке Си.
> skynet
и что-то подозрительно близко находятся 3D-принтер и книга по scikit-learn и tensorflow. Убрал книгу подальше от 3D-принтера, задумался над шапочкой из фольги..

–5 +/
Либо я не вижу тут Hurd, либо список составлен крайне плохо
+2 +/
Последний релиз более трёх лет назад.
+1 +/
И что? Коммиты смотри. А релиз сборки Debian с hurd в прошлом году вышел.
+/
Это же концептуальная игрушка-недоделка, какая нахрен важность.

+3 +/
Интересно, что подавляющее большинство проектов на Rust "жизненно важны" лишь для поддержания на плаву самого Rust.
–2 +/
Интересно, что фанбоев дырявой сишки рвёт на части при малейшем упоминании Раста.
+2 +/
А разве для остальных языков это не так? Телепортировать условный топ-1к проектов из любого ЯП и внезапно окажется, что смысла делать что-то новое на этом ЯП уже и не остаётся.
+/
Расскажи это компонентам Firefox на Rust которые ты использовал писав свое сообщение.
+/
Я писал в линкс. Раст не нужен.
+/
Я в Falkon.

+1 +/
> рейтинг от гугла
> newpipe на 25 месте
Очень иронично


+1 +/
Salt? Серьёзно? Да кому он нужен при наличии более популярного и стабильного Ansible?
+/
Ссылку на сравнение "стабильности" и популярности или пустомеля-балабол.

+4 +/
nginx где-то в конце списка, gcc на 73 месте, а openssh на 124. Это провал.
–1 +/
Это список критичных, т.е. не только важных, но еще и тех кому не найдется замены.
+/
Вес числа зависящих проектов равен весу числа разработчиков. Не вижу особого уклона в незаменимость в формуле.
+1 +/
Там где-то наверху systemd болтается. Что оно прям настолько критичное и ему нет замены???
+/
И GCC уже весь не только на C, начиная с 4.8.
+/
nginx-то тут причем? Легаси. Место ему на помойке, а не в списке важных проектов.
+/
Я немного не в теме, но why? И какие альтернативы?

+/
timezone не добавили. Наверное, потому, что под "формулу" не подходит...
+/
Ну если полтора разработчика пилят лет двадцать, то да

+/
Узнал много нового
Гугл естественно в критически важные запихнул свой youtube-dl, про который недавно было столько шума
+/
Ой, и он тут есть. А я только пайп заметил. Юмор конечно
+11 +/
Свой? Что?

–2 +/
Ну и конечно cassandra ниже neo4j это просто смешно. Этот рейтинг в итоге как-то особо и не коррелирует с реальным миром


+/
Лул.. Solana ))


+/
git, и даже irssi важнее кореутилсов. это все, что нужно знать про этот рейтинг
–2 +/
Гиту замены нет, это единственная актуальная VCS. А без говнутых coreutils замечательно живут *BSD и некоторые Linux дистрибутивы, сбросившие с себя позорное клеймо GNU/Linux.

+/
Интересно, почему гит стоит выше ядра ?
Его так активно пилят, что активнее, чем само ядро ?
+1 +/
Побуду КО - папка .git есть в 90% репозиториев. А упоминание linux - только в части.
+/
> При желании организации могут добавить дополнительные критерии
подсказать или сам догадаешься что за организация накрутила рейтинг git выше ядра?

+/
Таблице не хватает ссылок на исходники


+1 +/
Ху ты! i3, nodemcu-firmware, openwrt, druid, agenda, reactivesearch, standard, cryptography, moto, Python и Rust аж вдвойне важны!


+/
lua-nginx-module важнее nginx? вот так рейтинг. без учёта зависимостей смысла в нём как в цветочках на обоях - вроде и красиво, но надоедливо до бесцельности


+/
наверное, мне должно быть стыдно, но о подавляющем большинстве проектов я и не слышал, хотя о назначении некоторых еще можно понять по названию.


+/
и как может инферно важнее план9? План9 вроде как пилится энтузиастами (и делаются выпуски), а вот инферно, судя по битбакету, не особо живо.


+/
Капец, i3 прям такой важный проект.
+/
> Капец, i3 прям такой важный проект.
Шах и мат, Гнумовцы! Шах и мат!

+1 +/
Больше похоже на список любимого софта в Google.


+1 +/
А в чём заключается текущая деятельность OSSF? В настоящий момент помощь проектам рассматривается только на уровне пропозалов?


+/
Нет ни strace, ни gdb. Как так было можно?
–1 +/
gdb ушёл на помойку где ему и место силами lldb.

+/
Лол. Cinnamon есть, а gnome и kde - нет.
И почему i3 два раза? Настолько важен?
+1 +/
tmux ещё есть
+/
> Лол. Cinnamon есть, а gnome и kde - нет.
> И почему i3 два раза? Настолько важен?
Потому что "автомагия" для вывода имен.
src,ht*ps://github.com/openbsd/src,C,51,0,384,5,154.6,0,2,2,0.5,6029,0.6237
i3,ht*ps://github.com/i3/i3,C,70,0,301,4,3.8,12,99,163,2.6,945,0.65802
i3,ht*ps://github.com/Airblader/i3,C,73,0,316,4,4.2,5,17,18,2.8,99,0.58321

+/
Дело ясное, что дело тёмное.
Значение функции на картинке зависит от трех коэффициентов. Где там 10?
А 10 там в исходном источнике на гитхабе, и не коэффициентов, а строк в некоей сводной таблице.
Пардоньте, "i" тоже посчитаем за коэффициент.


+/
Чота йазыков маловато, да и из тех, что есть - часть ненужные))


+1 +/
В с++ есть qt-creator. В топе какие-то нонэймы, но нет qt. Или его уже выписали из опенсурса чтоль?


+1 +/
Этот рейтинг говна не ст0ит


+/
блестящий список острозаточенных костылей для подпорки линукса


+/
Хостер timeweb лёг напрочь! Из-за ddos атаки. Ничего не работает!


+/
А где VSCode? неужели он настолько не популярен.


+/
нет OpenRC зато есть OpenRCT2, грамотный рейтинг


+/
Мммм, на фоне того, что в питоне есть 2 соседних проекта moto и moto, корректность результата вызывает сомнения.


+/
Оказывается vlc на Си написан!!

Источник статьи: https://www.opennet.ru/opennews/art.shtml?num=54242
 
Сверху