오픈소스

유지관리 활발한 오픈소스 SW 프로젝트, 11%에 불과…소나타입

Paul Krill  | InfoWorld 2023.10.13
4개 주요 생태계를 중심으로 약 120만 개의 오픈소스 소프트웨어 프로젝트를 분석한 보고서가 발표됐다. 활발하게 유지관리되는 프로젝트는 전체의 약 11%에 불과한 것으로 나타났다.
 
ⓒ Getty Images Bank
 
소프트웨어 공급망 관리 회사인 소나타입(Sonatype)은 10월 3일 발표한 제9차 연례 소프트웨어 공급망 현황 보고서(Annual State of the Software Supply Chain)에서 117만 6,407개의 프로젝트를 평가한 후 2023년 현재 활발하게 유지관리되는 프로젝트가 18% 감소했다고 발표했다. 프로젝트의 11%인 11만 8,028개만이 유지관리가 활성화되어 있었다. 또한 2022년 유지관리되지 않았던 일부 신규 프로젝트는 현재 유지관리를 받고 있다고 덧붙였다.

보고서는 NPM을 통한 자바스크립트, 프로젝트 관리 도구 메이븐(Maven)을 통한 자바, PyPI 패키지 인덱스를 통한 파이썬, 누젯(NuGet) 갤러리를 통한 닷넷의 4가지 주요 생태계와 일부 고(Go) 프로젝트를 조사 대상으로 선정했다. 2022년 유지관리되던 자바 및 자바스크립트 프로젝트의 18.6%는 현재 더 이상 유지관리되지 않는 것으로 나타났다.

소나타입은 지속적으로 유지관리되는 오픈소스 프로젝트가 소프트웨어 보안 모범사례에서 다른 프로젝트보다 우수한 성과를 보인다는 결론을 냈다.

62페이지 분량의 이 보고서는 4,000억 건 이상의 메이븐 센트럴 다운로드, 수천 개의 오픈소스 프로젝트에 대한 종속성 업데이트 패턴을 포함해 공개/독점 데이터와 분석을 다뤘다. 또한, 621명의 엔지니어링 전문가를 대상으로 한 설문조사 결과와 4개 소프트웨어 생태계의 보안 동향을 분석했다. 그 외 보고서에 포함된 다른 결과를 요약하면 다음과 같다.
 
  • 응답자의 67%는 애플리케이션이 알려진 취약한 라이브러리에 의존하지 않는다고 생각한다고 답했다. 지난 12개월 동안 오픈소스 취약점으로 보안 침해가 발생했다고 답한 비율은 10%가량이었다.
  • 39%의 기업이 취약점 발견에 1~7일이 걸렸고, 29%는 1주일 이상, 28%는 하루가 걸렸다. 39%는 취약점을 완화하는 데 일주일 이상이 필요하다고 답했다.
  • 기업 환경 내에서 AI와 ML 소프트웨어 구성 요소의 사용은 지난해 135% 급증했다.
  • 오픈소스 다운로드 8건 중 1건은 알려진 위험이 있었지만, 다운로드된 취약 릴리즈 중 96%는 수정된 버전을 사용할 수 있었다.
  • 지난 2년 동안 오픈소스 소비에서 다운로드 성장률은 둔화 추세를 보였다.
editor@itworld.co.kr 
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.