Em 2020, o Google e a Open-Source Security Foundation (OpenSSF) criaram uma “Pontuação de criticidade” para classificar a importância/criticidade dos projetos de código aberto . A pontuação de criticidade é um meio de quantificar a importância de um projeto de código aberto, como se precisar de financiamento ou assistência ao desenvolvimento. O Criticity Score 2.0 já foi publicado e deve classificar importantes projetos de OSS.
O Criticality Score leva em consideração a idade da base de código/repositório, a contagem de contribuidores, a frequência de confirmação, o número de lançamentos no ano passado, o número de problemas fechados e atualizados nos últimos 90 dias, a frequência de comentários, o número de menções do projeto em mensagens de confirmação e outros parâmetros para obter uma representação numérica entre 0 e 1 de quão crítico é um projeto por esse padrão. O software Criticality Score pode calcular a pontuação com base em um URL do repositório GitHub.
logotipo do OpenSSF.
Os objetivos declarados do OpenSSF Criticality Score são:
- Gerar uma pontuação de criticidade para cada projeto de código aberto.
- Criar uma lista de projetos críticos dos quais a comunidade de código aberto depende.
- Usar esses dados para melhorar proativamente a postura de segurança desses projetos críticos.
O software Criticality Score é mantido pelo grupo de trabalho “Securing Critical Projects” da Open Source Security Foundation. Entre os projetos de linguagem C mais críticos no GitHub estão o Git, o kernel do Linux, PHP, OpenSSL, systemd e curl. Para os projetos mais críticos escritos em Rust, a lista inclui o próprio Rust, Servo, Cargo, analisador de ferrugem e outros. Os projetos PHP mais críticos incluem Symfony, Magento2, Joomla e Laravel Framework. No topo da lista de criticidade do Python estão nomes como SaltStack Salt, Home-Assistant Core, CPython, Scikit-Learn e Numpy.
Criticality Score 2.0 da Open Source Security Foundation deve classificar importantes projetos de OSS
Lançado na quinta-feira foi Criticality Score 2.0 como uma “renovação” do projeto. Com a versão 2.0, o software Criticality Score foi reescrito na linguagem de programação Go em vez de Python. Existem também várias correções, novos recursos e outras melhorias neste software para pontuar projetos de código aberto com base em seu repositório GitHub.
Aqueles que desejam aprender mais sobre o Criticality Score 2.0 podem fazê-lo através do repositório OpenSSF GitHub.