The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Третья редакция рейтинга библиотек, требующих особой проверки безопасности

05.12.2024 15:08

Организация Linux Foundation совместно с Гарвардской лабораторией инноваций в науке подготовила новую редакцию исследования Census III, нацеленного на выявление наиболее широко используемых открытых проектов, нуждающихся в первоочередном аудите безопасности. В ходе исследования проведён анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев. Всего было изучено более 12 миллионов открытых библиотек, задействованных в приложениях, используемых в 10 тысячах различных компаний.

На основе собранной статистики сформированы списки из 500 наиболее часто используемых библиотек, безопасность и качество сопровождения которых требует особого внимания, так как уязвимости и компрометация разработчиков сторонних зависимостей, могут свести на нет все усилия по совершенствованию защиты основного продукта. Всего предложено 8 списков, содержимое в которых ранжировано в зависимости от различных критериев, таких как поставка в репозитории NPM и наличие информации о версии при определении зависимостей.

Некоторые выводы:

  • 17% из 50 наиболее популярных проектов, не представленных в репозитории NPM, имеют только одного разработчика, а 40% - одного или двух разработчиков, совершивших 80% коммитов.
  • По сравнению с прошлым отчётом от 2022 года, среди важных пакетов увеличилось использование пакетов для взаимодействия с облачными сервисами.
  • Продолжается перевод проектов с Python 2 на Python 3.
  • Сохраняется популярность пакетов Maven и растёт использование пакетов из репозиториев PIP (Python), Cargo (Rust) и NuGet (.NET).
  • Как и раньше наблюдается необходимость в использовании стандартизированных схем именования программных компонентов.
  • Возросла актуальность защиты учётных записей разработчиков. Многие из наиболее востребованных пакетов размещены под учётными записями конкретных разработчиков, менее защищённых чем учётные записи созданных под проект организаций.
  • 20 наиболее часто используемых JavaScript-пакетов из репозитория NPM, загружаемых приложениями без привязки к версии:
  • 20 наиболее часто используемых пакетов из репозиториев, отличных от NPM, загружаемых приложениями без привязки к версии:


  1. Главная ссылка к новости (https://www.linuxfoundation.or...)
  2. OpenNews: Обновление рейтинга библиотек, требующих особой проверки безопасности
  3. OpenNews: Инициатива Alpha-Omega, нацеленная на повышение безопасности 10 тысяч открытых проектов
  4. OpenNews: Рейтинг библиотек, требующих особой проверки безопасности
  5. OpenNews: Google представил рейтинг критически важных открытых проектов
  6. OpenNews: Инициатива Alpha-Omega, нацеленная на повышение безопасности 10 тысяч открытых проектов
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62347-npm
Ключевые слова: npm, security, libruary
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (102) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 15:32, 05/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Вот вот весь мир держится на желаниях и компетенции одного васяна, но копики даже не чешутся на счёт создать что-нибудь свое защищённое и возможно платное. Единственно правильный вывод это форкнуть популярные Либы и либо включить их как часть языка с соответствующей поддержкой либо поддерживать на коммерческой основе.
     
     
  • 2.2, Аноним (1), 15:35, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    *корпики
     
     
  • 3.3, Аноним (3), 15:40, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +13 +/
    *коприки
     
     
  • 4.115, Аноним3 (?), 19:10, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Благодарю за лайки. Очень взбодрили. )
     
  • 2.8, Аноним (-), 16:10, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >  либо включить их как часть языка с соответствующей поддержкой

    Какого языка?
    "Пока не начался срач, никто не хочет выйти? (с)"

    > либо поддерживать на коммерческой основе.

    А кто это будет оплачивать?
    Пользователи? Точно нет.
    Корпы? Так их и так все устраивает.

    То что ты описываешь это хорошо.
    Но корень проблемы - это то самое AS IS.
    Программист пишет код и не отвечает за его качество, даже если это платный продукт.

    Есть попытки заставить бракоделов давать какие-то гарантии, но боюсь они провалятся, тк никто не заинтересован отвечать за качество.

     
     
  • 3.17, Аноним (1), 16:29, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Включение в основу языка или его стдлиб оплачивает тот кто финансирует язык. Все остальное оплачивает клиент как и все в этой жизни. Программист допустим на будет отвечать а вот Юридическая организация будет. Создай в РФ такую национальную компанию которая будет нести ответственность за этот бардак и все сначала ты в реестре потом золотые горы. Бесплатная идея для стартапа на опеннете.
     
     
  • 4.22, Аноним (22), 16:38, 05/12/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.34, Аноним (34), 16:57, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В корпах никого не волнуют тех скилы, кроме как на собесе. Главное правило успеха в корпе - это быть удобным и быстро давать результат, если недоделанная либа от нищего васяна решила проблему - сотрудник получит бонус а васян ничего не получит. Делать же свою более лучшую либу чревато неуспехом, да и ответсвенность придётся нести.
     
     
  • 3.45, Аноним (-), 17:18, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Делать же свою более лучшую либу чревато неуспехом, да и ответсвенность придётся нести.

    А типа васян несет какую-то ответственность за то что наомнокодил?
    Его вообще-то никто не заставлял выкладывать либу в опенсорс.

    При этом если либа будет не правильно работать, то дручить будут сотрудника.
    И манагеру будет пофиг откуда он стянул код - "ты главное сделай чтобы работало как нужно. и побыстрее"

     
     
  • 4.73, Аноним (73), 20:39, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сотрудник уволится, а позор на компании останется навечно. Кому нужен такой головняк?
     
  • 2.42, Аноним324 (ok), 17:10, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну создают так-то
     
  • 2.53, Семен (??), 18:06, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В любимом всеми расте, даже форкнуть не поможет если библиотека скомпроментирова... большой текст свёрнут, показать
     
     
  • 3.62, Аноним (62), 19:17, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > В том же npm ты привязан к только к версии библиотеки, а в Cargo кроме версии еще к контрольной сумме, что ломает все. Якобы так "безопаснее", а по факту наоборот...

    Дополнительная проверка контрольной суммы уменьшает безопасность?

     
     
  • 4.70, Семен (??), 20:20, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да, это замедляет фикс Контрольную сумму архива я без них могу проверить, так д... большой текст свёрнут, показать
     
     
  • 5.103, Аноним (-), 10:10, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если тебя это утешит, то скажу что я понимаю тебя и эту проблему. Ребята просто не сталкивались с такими проблемами, да и сравнивать веб или что-то незначительное с десктопными/системными приложениями как-то не корректно.
     
  • 3.83, PROgrm_JARvis (ok), 00:19, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В карго из коробки есть способ указать зависимости из гита 1 или даже ФС 2 ... большой текст свёрнут, показать
     
     
  • 4.85, Семен (??), 00:40, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    спасибо кэп, как это я раньше не смог догадаться?
     
     
  • 5.86, PROgrm_JARvis (ok), 00:53, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > спасибо кэп, как это я раньше не смог догадаться?

    Skill issues, видимо, потому что как иначе объяснить, почему Ваше описание ((решения)) подходит именно под васяноподход, а не тот, который доступен из коробки и решает ровно описанную проблему?

     
     
  • 6.88, Семен (??), 01:03, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >> спасибо кэп, как это я раньше не смог догадаться?
    > Skill issues, видимо, потому что как иначе объяснить, почему Ваше описание ((решения))
    > подходит именно под васяноподход, а не тот, который доступен из коробки
    > и решает ровно описанную проблему?

    Ну да, на опеннет полно "экспертов". Чего только стоит поставновка диагнозов через интернет по переписке...

     
  • 6.89, Семен (??), 01:22, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Скажу по другому, например я нашел в своем дистрибутиве Linux в какой-то библиот... большой текст свёрнут, показать
     
  • 4.87, Семен (??), 01:00, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Более того, есть целый механизм переопределения зависимостей [3] который именно транзитивно
    > работает

    Ты не понял. Ты можешь обновить, но какая-то зависимость-зависимости зависит от конкретной версии зависимости, ты переопределяешь зависимость, делаешь патчи для основного пакета, что бы он собирался с новой версией зависимости, но какая-то твоя зависимость требует старой версии этой же зависимости, которая была обновлена, и еще старый раст. Пакет который ломался каждый раз в Firefox это что-то там "simd", там часто api менялся и еще он ломался при обновления rust. Ты патчишь Firefox, а по итогу у тебя зависимость просит старую версию simd, и сборка ломается на ее сборке. Вы надеюсь понимаете, что ваши зависимости зависят он конкретной версии API?


     
  • 2.97, Антним (-), 09:21, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Безопасность это очень дорого Большая ошибка обеспечение безопасности минутой м... большой текст свёрнут, показать
     
  • 2.102, Аноним (-), 10:00, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не всегда так. Есть корпики которые берут код, форкают и сами допиливают, порой если умные - сливают обратно или как свой продукт рекламируют. А есть действительно которые держатся на неизвестном Васяне
     
  • 2.113, Аноним (113), 18:22, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Какая из перечисленных библиотек поддерживается одним Васяном, а не корпиками?
     

  • 1.4, ЕхидныйАноним (?), 15:47, 05/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Так-то вся разработка на таких линусах и держится :)
     
  • 1.6, Аноним (6), 16:03, 05/12/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +2 +/
     

     ....ответы скрыты (11)

  • 1.7, Аноним (-), 16:04, 05/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Хм.. раз уже Linux Foundation говорит, что
    > Возросла актуальность защиты учётных записей разработчиков.

    то фанатики анонимности все так же будут верещать "нас заставляют использовать OpenID!!1111" ?
    Будут ли обвинения LF в продажности ?

     
     
  • 2.94, Антним (?), 08:01, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В данном случае обвинений быть не может, поскольку. Linux изначально боролся против анонимных разработчиков. В ядро Linux анонимных матчей не принимали никогда. Пример патчи безопасности PAX. Споры о приеме анонимных патчей не стихают, но Линус аргументировано отказывает.

    > OpenID

    ОперID не нужное зло.

     
     
  • 3.99, Аноним (-), 09:25, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нужно подписывать пакеты PGP: https://www.opennet.ru/openforum/vsluhforumID3/135499.html#97
     

  • 1.13, Аноним (13), 16:16, 05/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Python и JavaScript, опять нужно тратить кучу времени на гадюку и жабу.
    Из них получится разве что хороший китайский суп.
     
     
  • 2.21, Аноним (1), 16:37, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Достаточно просто гадюшник запускать в контейнере или любой другой безопасной зоне.
     
     
  • 3.44, myster (ok), 17:15, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Контейнерофобы все-равно найдут оправдание тому, чтобы бинари голым задом торчащим в интернет запускать нативно в системе. Только лишь бы не в контейнере.

    Знаю не мало людей, которые Прод сервисы так и запускают, ещё и под рутом.
    Да, что там говорить, даже вендоры пакетов известного ПО так делают. Их systemd службы настроены на использование root.

     
     
  • 4.47, Аноним (-), 17:25, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Контейнерофобы все-равно найдут оправдание тому, чтобы бинари голым задом торчащим в интернет запускать нативно в системе. Только лишь бы не в контейнере.

    С одной стороны я с тобой согласен, что контенеры это круто.
    А с другой - они расслабляют и подталкивают программера овнокодить - типа "пиши абы как, а там все завернем в контейнеры"


     
     
  • 5.49, myster (ok), 17:39, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А с другой - они расслабляют и подталкивают программера овнокодить - типа
    > "пиши абы как, а там все завернем в контейнеры"

    это зависит от разработчиков, некоторые даже межсервисные соединения в пределах внутренней подсети шифруют через SSL, а некоторые говорят - "так есть же SSL на балансировщике, зачем нам этим заморачиваться" и заказчику тоже так это объясняют. А потом сниффер-троян делает своё дело и происходит та самая утечка персональных данных, за которую последнее время ужесточают законы.

     
     
  • 6.52, Аноним (52), 17:59, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Достаточно нелепо, как мне кажется Для начала - для выпуска и корректной работы... большой текст свёрнут, показать
     
     
  • 7.54, myster (ok), 18:24, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тут вообще, достаточно нелепо использовать публичный CA для этой цели, это даже ... большой текст свёрнут, показать
     
     
  • 8.56, Аноним (56), 18:44, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    С рутом на системе можно не заниматься ерундой, а просто взять из памяти ключ и ... текст свёрнут, показать
     
     
  • 9.60, myster (ok), 19:02, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Без promiscuous режима, NIC на хардварном уровне будет дропать пакеты не предназ... текст свёрнут, показать
     
     
  • 10.66, Аноним (56), 19:30, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты сейчас локалхост весьма точно описал В проде так бывает разве что в стартапа... текст свёрнут, показать
     
     
  • 11.67, myster (ok), 19:47, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты помешался на своих на локалхостах и хелло-ворлдах Не нужно равнять всех по... текст свёрнут, показать
     
     
  • 12.74, Аноним (52), 20:40, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    нет, не задел например меня смутило, что ты на знаешь, что маршрутизирующее обо... большой текст свёрнут, показать
     
     
  • 13.78, myster (ok), 21:17, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что в этой фразе не ясного Есть ещё виртуальные сети, построенные на гиперви... текст свёрнут, показать
     
  • 13.79, _hide_ (ok), 21:26, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Когда-то, давным-давно, свичами называли маршрутизаторы без мозгов, которые пере... текст свёрнут, показать
     
  • 6.98, Аноним (13), 09:25, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И зачем в межсервисных соединениях текстовые протоколы?
     
     
  • 7.108, myster (ok), 15:16, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > И зачем в межсервисных соединениях текстовые протоколы?

    Разработчикам виднее, обычно это всякие API, отдающие JSON

     
  • 2.33, Аноним (30), 16:56, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Но если работать в коммерческой разработке, то таки придётся вникать в этот серпентарий. У меня на прошлой В работе, даже будучи embedded-разрабом, пришлось учить Python и пару васянских либ.
     
  • 2.41, myster (ok), 17:09, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    JavaScript и Python считаются более безопасными, чем, например PHP
    https://tproger.ru/news/nazvany-glavnye-problemy-v-bezopasnosti-koda-napisanno
     

  • 1.26, Аноним (-), 16:44, 05/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Express кстати русская разработка. И весьма удачная, она повлияла на многие проекты.
     
     
  • 2.31, Аноним (-), 16:52, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Express кстати русская разработка. И весьма удачная, она повлияла на многие проекты.

    Ты уверен?
    Там главный разраб из London, UK, а остальные Douglas Wilson, Jonathan Ong (Orange County, CA)
    На русских не сильно похожи)

     
     
  • 3.77, Аноним (77), 21:15, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Там по классике жанра оформлено всё на левое юр. лицо для легализации за пределами pФ.
     
  • 3.90, Аноним (-), 01:41, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Уверен, ранее он даже не был иностранным. Тихий проект русского энтузиаста. У моих разработок тоже кирпичная американская морда, и что? Ну кроме одной, но там утилита и мы не об этом.
     
  • 2.80, Аноним (80), 22:44, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Express кстати русская разработка

    Ти Джей сейчас подавился своим соевым латтэ. Канадо-британский хипстер стал русским?

     
     
  • 3.91, Аноним (-), 01:50, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А зачем Ти Джей информацию о библиотеке делал на русском и английском? Он наверно сильно любит Россию в отличии от некоторых других английских проектов, которые так не делают.
     
     
  • 4.95, Аноним (95), 08:11, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А зачем Ти Джей информацию о библиотеке делал на русском и английском?

    Это где? Ссылка есть?

     
     
  • 5.96, Аноним (-), 08:57, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    https://expressjs.com/ru/

    Сейчас написано что перевод автоматический. Найти то просто. Машину времени правда не сделаешь.
     
     
  • 6.116, Аноним (95), 19:14, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Сейчас написано что перевод автоматический

    Ты точно внимательно читал свою ссылку? Какой-то интернациональный у тебя разработчик, столько языков знает:

    Documentation translations provided by StrongLoop/IBM: French, German, Spanish, Italian, Japanese, Russian, Chinese, Traditional Chinese, Korean, Portuguese.
    Community translation available for: Slovak, Ukrainian, Uzbek, Turkish, Thai and Indonesian.

    Кстати, еще несколько лет назад Russian входил в список "Community translation" с вечным отставанием от оригинального сайта.

     
  • 5.101, Аноним (-), 09:56, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя я может что-то путаю, но мне кажется что это раньше была разработка русского разработчика.
     
     
  • 6.117, Аноним (95), 19:15, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ти Джей никогда не был русским, что какбы даже имя нам намекает на это...
     
     
  • 7.118, Аноним (118), 01:32, 07/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну-ну, верь и дальше что то его Ти-Джей написал.
     
  • 7.119, Аноним (118), 01:43, 07/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да в общем, какая разница? Есть более удобные библиотеки. Тот же Nest выиграет по удобству, а Fastify по скорости. Я только глянул - 5 версию выпустили, там всё-равно не сидят на месте. Тот код который был изначально - переписан наверняка.
    Это также как сказать что Skype или Telegram русские разработки.
     

  • 1.50, Аноним (52), 17:40, 05/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >формированы списки из 500 наиболее часто используемых библиотек, безопасность и качество сопровождения которых требует особого внимания,

    никто не подскажет, почему они занимаются только NPM?
    например лично я бы для начал с линуксового ядра, системных библиотек, потом, в зависимости от дистрибутива - софтом в прилагаемом репозитарии.
    А это перцы сразу за помоечную nodejs решили взяться?

     
     
  • 2.57, Аноним (56), 18:48, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Занимаются тем, что нужно индустрии и имеет максимальный импакт. А не то, о чём мечтают обыватели с опеннета. До ядра и системных библиотек ещё добраться надо, а фронт на js — вот он, прямо в интернете доступен без этой вашей гибсонщины.
     
  • 2.58, Аноним (-), 18:55, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > никто не подскажет, почему они занимаются только NPM?
    > например лично я бы для начал с линуксового ядра, системных библиотек, потом, в зависимости от дистрибутива - софтом в прилагаемом репозитарии.

    Это очень сложно.
    Вот придешь ты в ядро и скажешь "библиотека шерето!", а там какой-то вредный дед "я не буду исправлять ошибки и так сойдет".

    > А это перцы сразу за помоечную nodejs решили взяться?

    Потому что пользователей веббраузеров на порядок больше чем линукса.


     
     
  • 3.76, Аноним (77), 21:14, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > на порядок

    Это в 10 раз. Маловато. Я думаю минимум в 1000 раз (не считая всяких стим и прочих серверов).

     
     
  • 4.81, Минона (ok), 23:10, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У айтишников "порядки" это степени двойки, а не десятки.
     

  • 1.84, Full Master (?), 00:24, 06/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сишных библиотек в top 20 нет?
     
     
  • 2.92, Аноним (-), 02:45, 06/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А много ли вообще на NPM сишных или даже не JavaScript проектов? Кстати на C в общем-то там есть. А на многих других языках - нет.
     

  • 1.104, Соль земли (?), 10:15, 06/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > 17% из 50 наиболее популярных проектов, не представленных в репозитории NPM, имеют только одного разработчика, а 40% - одного или двух разработчиков, совершивших 80% коммитов.

    Скорее всего это ментейнеры, а не разработчики. Им могут присылать патчи по почте и т.д. Слабо верю, что у Open Source мало участников. А вот одного ментейнера обычно достаточно.

     
  • 1.107, geekay (ok), 12:37, 06/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    17% от 50 это 8 с половиной проектов.
     
  • 1.120, InuYasha (??), 19:40, 07/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Плохо что нет libc или упоминания того что это рейтинг для "особенных" языков. Зря только читал вот это всё...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру