Un estudio reciente de casi 1,2 millones de proyectos de software de código abierto, principalmente en cuatro ecosistemas principales, encontró que solo alrededor del 11% de los proyectos se mantenían activamente. En su noveno informe anual sobre el estado de la cadena de suministro de softwarePublicado el 3 de octubre, la empresa de gestión del ciclo de vida del desarrollo de software, Sonatype, evaluó 1.176.407 proyectos e informó una disminución del 18 % en los proyectos mantenidos activamente este año. Sólo el 11% de los proyectos (118.028) estaban en mantenimiento activo. El informe también revela que ciertos proyectos nuevos, que no se mantendrán en 2022, sí lo son ahora. Los cuatro ecosistemas incluyeron JavaScript, a través de NPM; Java, a través de la herramienta de gestión de proyectos Maven; Python, a través del índice del paquete PyPI; y .NET, a través de la galería NuGet. También se incluyeron algunos proyectos de Go. Según el informe, el 18,6% de los proyectos Java y JavaScript que se mantuvieron en 2022 ya no se mantienen en la actualidad.

Sonatype también descubrió que los proyectos de código abierto mantenidos consistentemente superan a sus contrapartes en las mejores prácticas de seguridad de software crítico. El informe de 62 páginas combina datos y análisis públicos y propietarios, incluidos modelos de actualización de dependencia para más de 400 mil millones de descargas de Maven Central y miles de proyectos de código abierto. También incorpora los resultados de una encuesta a 621 profesionales de ingeniería y tendencias de seguridad de los cuatro principales ecosistemas de software.

Entre los hallazgos adicionales del informe:

• El 67% de los encuestados dijeron que no creían que sus aplicaciones dependieran de bibliotecas vulnerables conocidas. Casi el 10% informó violaciones de seguridad debido a vulnerabilidades de código abierto en los últimos 12 meses.

• El 39% de las empresas descubre vulnerabilidades entre uno y siete días, mientras que el 29% tarda más de una semana y el 28% las descubre en un día. En lo que respecta a la mitigación, el 39 % necesita más de una semana para mitigar las vulnerabilidades.

• El uso de componentes de software de inteligencia artificial y aprendizaje automático en las empresas aumentó un 135 % durante el último año.

• Una de cada ocho descargas de código abierto tenía un riesgo conocido, pero el 96% de las descargas vulnerables tenían una versión parcheada.

• La tasa de crecimiento de las descargas en el consumo de código abierto se ha desacelerado en los últimos dos años.