Open source : à la recherche des projets critiques

Kubernetes est-il le plus « critique » des projets open source ? Oui, d'après les critères de l'Open Source Security Foundation.

L'organisation est née cette année sous l'impulsion d'entreprises technologiques américaines parmi lesquelles Google, IBM/Red Hat, Microsoft et VMware.

L'une de ses initiatives consiste à établir un « score de criticité » des projets open source. Elle se fonde pour le moment sur l'algorithme et les métriques suivants :

Un outil en ligne de commande est disponible pour calculer ce score sur tout dépôt GitHub, en ajoutant éventuellement des métriques personnalisées. L'ouverture à d'autres plates-formes ne devrait pas tarder, nous annonce-t-on, l'implémentation actuelle ne représentant qu'une centaine de lignes de code.

L'Open Source Security Foundation met ses données à disposition au format CSV. En l'état, elles regroupent les top 200 des projets Java, JavaScript, Python, Rust, Go et C/C++.
Tous langages confondus, on retrouve, derrière Kubernetes (noté 0,98612), Git (0,94481), Linux (0,92262), Ansible (0,92169), PHP (0,91919), React Native (0,90628), etc.

L'initiative doit aider à prioriser les investissements en soutien des projets. Elle se nourrit, entre autres, du programme Census II que mènent Harvard et la Fondation Linux.

Ci-dessous, l'une des dernières réunions du groupe de travail chargé du « score de criticité ». Il en existe cinq autres au sein de l'Open Source Security Foundation.

Illustration principale © opensourceway viaVisualHunt / CC BY-SA