शीर्ष 1,000 ओपन-सोर्स लाइब्रेरीज़

  • Oct 19, 2023

लिनक्स फाउंडेशन और हार्वर्ड लैब फॉर इनोवेशन साइंस सबसे महत्वपूर्ण ओपन-सोर्स एप्लिकेशन लाइब्रेरी की सूची बनाते हैं।

जब आप महत्वपूर्ण ओपन-सोर्स परियोजनाओं के बारे में सोचते हैं तो आपको निश्चित रूप से लिनक्स, अपाचे वेब सर्वर, लिबरऑफिस इत्यादि याद आते हैं। और, यह सच है. ये महत्वपूर्ण हैं, लेकिन इनके नीचे महत्वपूर्ण सॉफ्टवेयर लाइब्रेरी हैं जो सैकड़ों हजारों अन्य कार्यक्रमों को सशक्त बनाती हैं। ये बहुत कम प्रसिद्ध हैं। इसीलिए नवाचार विज्ञान के लिए हार्वर्ड प्रयोगशाला (LISH) और यह लिनक्स फाउंडेशन'एस ओपन सोर्स सिक्योरिटी फाउंडेशन (ओपनएसएसएफ), हाल ही में एक व्यापक सर्वेक्षण किया, निःशुल्क और मुक्त स्रोत सॉफ़्टवेयर की जनगणना II - अनुप्रयोग लाइब्रेरीज़, इन अंडर-द-हूड महत्वपूर्ण कार्यक्रमों में से।

खुला स्त्रोत

  • GitHub बनाम GitLab: कौन सा प्रोग्राम आपके लिए सही है?
  • शुरुआती लोगों के लिए सर्वोत्तम लिनक्स डिस्ट्रोस
  • फ़ेरेन ओएस एक लिनक्स वितरण है जो जितना सुंदर है उतना ही उपयोग में आसान भी है
  • अपनी लिनक्स मशीन में नए उपयोगकर्ता कैसे जोड़ें

यह इस तरह का दूसरा अध्ययन है. पहला, 2020 का "कोर में कमज़ोरियाँ, एक प्रारंभिक रिपोर्ट और ओपन-सोर्स सॉफ़्टवेयर की जनगणना II

, निचले स्तर की महत्वपूर्ण ऑपरेटिंग सिस्टम लाइब्रेरी और उपयोगिताओं पर ध्यान केंद्रित किया गया। यह नई रिपोर्ट हजारों कंपनियों के उत्पादन अनुप्रयोगों में उपयोग किए जाने वाले मुक्त और ओपन-सोर्स (एफओएसएस) पुस्तकालयों के पांच लाख से अधिक अवलोकनों से डेटा एकत्र करती है।

इस रिपोर्ट का डेटा हजारों कंपनियों के कोडबेस के सॉफ्टवेयर कंपोजिशन एनालिसिस (एससीए) स्कैन से आया है। यह डेटा द्वारा प्रदान किया गया था Snyk, द सिनोप्सिस साइबर सुरक्षा अनुसंधान केंद्र (CyRC), और गढ़ा.

इसका उद्देश्य, केवल यह जानना चाहने के अलावा कि वास्तव में सबसे लोकप्रिय, ओपन-सोर्स एप्लिकेशन लाइब्रेरी, पैकेज और घटक क्या थे, इन परियोजनाओं को सुरक्षित करने में मदद करना है। जब तक आप यह नहीं जानते कि यह महत्वपूर्ण है, आप यह नहीं जान सकते कि आपको पहले क्या सुरक्षित करने की आवश्यकता है।

उदाहरण के लिए, अब तक अपेक्षाकृत अज्ञात log4j लॉगिंग पैकेज एक बड़ी सुरक्षा समस्या बन गया जब लॉग4शेल जीरो-डे का खुलासा हुआ. जेन ईस्टरली, यूनाइटेड स्टेट्स डिपार्टमेंट ऑफ होमलैंड सिक्योरिटी (डीएचएस) साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर के निदेशक सुरक्षा एजेंसी (सीआईएसए) ने इसे "मेरे दशकों लंबे करियर में देखी गई सबसे गंभीर भेद्यता" कहा। इस बग का असर हुआ दसियों या करोड़ों डिवाइस और प्रोग्राम.

FOSSA के संस्थापक और सीईओ केविन वांग ने कहा, OSS की सर्वव्यापी प्रकृति का मतलब है कि गंभीर कमजोरियाँ - जैसे कि Log4Shell - का विनाशकारी और व्यापक प्रभाव हो सकता है। आपूर्ति श्रृंखला के खतरों के खिलाफ व्यापक सुरक्षा स्थापित करने की शुरुआत मजबूत दृश्यता स्थापित करने से होती है सॉफ़्टवेयर।" केवल हमारी "ओपन सोर्स निर्भरताएँ" को समझकर ही हम सॉफ़्टवेयर में पारदर्शिता और विश्वास में सुधार कर सकते हैं आपूर्ति श्रृंखला।"

लिनक्स फाउंडेशन के प्रोजेक्ट्स के वरिष्ठ उपाध्यक्ष माइक डोलन ने कहा, "यह समझना कि FOSS पैकेज क्या हैं समाज के लिए सबसे महत्वपूर्ण हमें उन परियोजनाओं का सक्रिय रूप से समर्थन करने की अनुमति देता है जो संचालन और सुरक्षा की गारंटी देती हैं सहायता। ओपन-सोर्स सॉफ़्टवेयर वह नींव है जिस पर हमारे बैंकिंग संस्थानों से लेकर हमारे स्कूलों और कार्यस्थलों तक हमारा दैनिक जीवन चलता है। " 

यह जनगणना आठ अलग-अलग क्षेत्रों में सबसे अधिक उपयोग किए जाने वाले 500 FOSS पैकेजों का विवरण देती है। इनमें संस्करण/संस्करण-अज्ञेयवादी, एनपीएम/गैर-एनपीएम पैकेज प्रबंधक, और प्रत्यक्ष/प्रत्यक्ष और अप्रत्यक्ष पैकेज कॉल सहित डेटा के विभिन्न स्लाइस शामिल हैं। उदाहरण के लिए, शीर्ष 10 संस्करण-अज्ञेयवादी NPM जावास्क्रिप्ट पैकेज जिन्हें सीधे कहा जाता है वे हैं:

  1. lodash

  2. प्रतिक्रिया

  3. अक्ष

  4. डिबग

  5. @बेबेल/कोर

  6. अभिव्यक्त करना

  7. सेम्वर

  8. uuid

  9. प्रतिक्रिया-डोम

  10. jQuery

किसी भी सुरक्षा समस्या के लिए इन और अन्य शीर्ष पुस्तकालयों पर बारीकी से नजर रखने की जरूरत है।

उन्हें सूचीबद्ध करने के अलावा, हार्वर्ड विश्वविद्यालय के सर्वेक्षण के लेखकों ने कुल मिलाकर पांच निष्कर्ष निकाले:

1) सॉफ़्टवेयर घटकों के लिए एक मानकीकृत नामकरण स्कीमा की आवश्यकता है। वैसे भी, नाम यादृच्छिक नहीं हैं, लेकिन उनमें बहुत अधिक तुक या तर्क भी नहीं है।

2) हमें पैकेज वर्जनिंग की जटिलताओं को दूर करने की जरूरत है। क्या आप एक नज़र में बता सकते हैं कि पैकेज कौन सा संस्करण है? यदि आप उस प्रोग्राम पर काम करते हैं तो आप ऐसा कर सकते हैं, लेकिन यदि आप इसे अपने उच्च-स्तरीय सॉफ़्टवेयर में केवल एक ईंट के रूप में उपयोग करते हैं, तो यह एक रहस्य हो सकता है।

3) सबसे व्यापक रूप से उपयोग किए जाने वाले FOSS का विकास केवल कुछ मुट्ठी भर योगदानकर्ताओं द्वारा किया गया है। हर कोई जानता है एक विशाल सॉफ़्टवेयर स्टैक का XKCD कार्टून जो नेब्रास्का में एक ही डेवलपर पर निर्भर करता है. इसमें दुखद और मजेदार बात यह है कि यह कोई मजाक नहीं है। हम अभी भी उस कोड पर निर्भर हैं जो एकमात्र प्रोग्रामर पर निर्भर है।

4) व्यक्तिगत डेवलपर खाते की सुरक्षा में सुधार करना महत्वपूर्ण होता जा रहा है। डेवलपर्स पर हैकिंग के हमले आम होते जा रहे हैं, हमें उनके खातों को विकास के मुकुट रत्नों की तरह सुरक्षित रखना चाहिए।

5) ओपन-सोर्स स्पेस में पुराने सॉफ़्टवेयर को साफ़ करने की आवश्यकता है। आमतौर पर, हम पुराने सॉफ़्टवेयर के बारे में उस एक व्यक्ति के संदर्भ में सोचते हैं जिसे हम सभी जानते हैं जो अभी भी Windows XP चला रहा है। लेकिन, पुराना, क्रूर कोड ओपन-सोर्स रिपॉजिटरी में भी रहता है।

उन्होंने कहा, हालांकि यह सर्वेक्षण उपयोगी है, लेकिन काम अभी पूरा नहीं हुआ है। और अधिक तथा निरंतर कार्य किये जाने की आवश्यकता है। इस रिपोर्ट में शामिल सभी प्रतिभागी एक अन्य अध्ययन पर काम करने की योजना बना रहे हैं। यह हमारे सूचना बुनियादी ढांचे के इन महत्वपूर्ण स्तंभों को बेहतर ढंग से समझने के लिए अधिक विस्तृत अध्ययन का एक अग्रदूत मात्र है

संबंधित कहानियां:

  • सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा का अल्फा और ओमेगा
  • लिनक्स फाउंडेशन एलएफएक्स में सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा जोड़ता है
  • लिनक्स फाउंडेशन सबसे महत्वपूर्ण ओपन-सोर्स सॉफ़्टवेयर घटकों और उनकी समस्याओं की पहचान करता है