Une étude récente portant sur près de 1,2 million de projets de logiciels open source, principalement répartis dans quatre écosystèmes majeurs, a révélé que seulement 11 % environ des projets étaient activement maintenus. Dans son 9e rapport annuel sur l'état de la chaîne d'approvisionnement logicielle, publié le 3 octobre, la société de gestion du cycle de développement logiciel Sonatype a évalué 1 176 407 projets et a signalé cette année une baisse de 18 % des projets activement maintenus. Seuls 11 % des projets (118 028) faisaient l’objet d’une maintenance active. Le rapport révèle également que certains nouveaux projets, non maintenus en 2022, le sont désormais. Les quatre écosystèmes comprenaient JavaScript, via NPM ; Java, via l'outil de gestion de projet Maven; Python, via l'index du package PyPI; et .NET, via la galerie NuGet. Certains projets Go ont également été inclus. Selon le rapport, 18,6 % des projets Java et JavaScript qui étaient maintenus en 2022 ne le sont plus aujourd'hui. 

Sonatype a également constaté que les projets open source constamment maintenus surpassent leurs homologues en termes de meilleures pratiques critiques en matière de sécurité logicielle. Le rapport de 62 pages combine des données et analyses publiques et propriétaires, y compris des modèles de mise à jour des dépendances pour plus de 400 milliards de téléchargements Maven Central et des milliers de projets open source. Il intègre également les résultats d'une enquête menée auprès de 621 professionnels de l'ingénierie et les tendances en matière de sécurité des quatre principaux écosystèmes logiciels.  

Parmi les conclusions supplémentaires du rapport : 

• 67 % des personnes interrogées ont déclaré qu'elles ne pensaient pas que leurs applications reposaient sur des librairies vulnérables connues. Près de 10 % ont signalé des failles de sécurité dues à des vulnérabilités open source au cours des 12 derniers mois.

• 39 % des entreprises découvrent des vulnérabilités en un à sept jours, tandis que 29 % mettent plus d'une semaine et 28 % les découvrent en une journée. En ce qui concerne l'atténuation, 39 % ont besoin de plus d'une semaine pour atténuer les vulnérabilités. 

• L'utilisation de composants logiciels d'IA et d'apprentissage automatique dans les entreprises a bondi de 135 % au cours de l'année dernière. 

• Un téléchargement open source sur huit présentait un risque connu, mais 96 % des versions téléchargées vulnérables disposaient d'une version corrigée. 

• Le taux de croissance des téléchargements dans le cadre de la consommation open source a ralenti au cours des deux dernières années.