Open source : à la recherche des projets critiques

Open source score criticité

Comment estimer le degré d’importance d’un projet open source ? L’OSSF tente d’établir la bonne formule algorithmique.

Kubernetes est-il le plus « critique » des projets open source ? Oui, d’après les critères de l’Open Source Security Foundation.

L’organisation est née cette année sous l’impulsion d’entreprises technologiques américaines parmi lesquelles Google, IBM/Red Hat, Microsoft et VMware.

L’une de ses initiatives consiste à établir un « score de criticité » des projets open source. Elle se fonde pour le moment sur l’algorithme et les métriques suivants :

Criticality score algorithme

Criticality score métriques
Le nombre de contributeurs et de dépendances sont les deux éléments qui ont le plus de poids.

Un outil en ligne de commande est disponible pour calculer ce score sur tout dépôt GitHub, en ajoutant éventuellement des métriques personnalisées. L’ouverture à d’autres plates-formes ne devrait pas tarder, nous annonce-t-on, l’implémentation actuelle ne représentant qu’une centaine de lignes de code.

L’Open Source Security Foundation met ses données à disposition au format CSV. En l’état, elles regroupent les top 200 des projets Java, JavaScript, Python, Rust, Go et C/C++.
Tous langages confondus, on retrouve, derrière Kubernetes (noté 0,98612), Git (0,94481), Linux (0,92262), Ansible (0,92169), PHP (0,91919), React Native (0,90628), etc.

L’initiative doit aider à prioriser les investissements en soutien des projets. Elle se nourrit, entre autres, du programme Census II que mènent Harvard et la Fondation Linux.

Ci-dessous, l’une des dernières réunions du groupe de travail chargé du « score de criticité ». Il en existe cinq autres au sein de l’Open Source Security Foundation.

Illustration principale © opensourceway viaVisualHunt / CC BY-SA