谷歌倡导Criticality Score?：评估开源项目的重要性作为开放源代码安全基金会（OpenSSF）

作为开放源代码安全基金会（OpenSSF）的一员，谷歌近日倡导推行了“Criticality Score”（关键性得分），用于评估开源项目的重要性。为了确定项目所需要的资金以及发展所需要的援助，谷歌和其他 OpenSSF 成员共同提出了“关键性得分” ，以0到1的指标来表示项目的关键性。
文章插图
据悉，这项“关键性得分”是根据项目的使用期限、上次更新的时间，项目的参与者数量，参与者所属的组织数量，提交频率，过去一年的发布次数，数量来计算的最近90天内更新和关闭的问题的数量，评论频率以及提交消息中提及的项目数等等因素综合考虑的。
文章插图
【谷歌倡导Criticality Score?：评估开源项目的重要性】根据自动评分，排名前十的 C 语言项目包括 Git、Linux Kernel（包括二三名，第二名是树莓派 Linux 内核，而第三名是 mainline Linux），PHP, OpenSSl, systemd, Curl, U-Boot, QEMU 和 Mbed-OS 。
排名前十的 C++ 语言项目包括 Tensorflow, Ceph, PyTorch, Bitcoin, Electron, Marlin, Cataclysm-DDA, LLVM, RocksDB 和 QGIS 。此外排名前十的 Java 项目包括 ElasticSearch, Flink, Spring-Boot, Hadoop, Netty, Jenkins, Beam, Bazel, Alluxio 和 PMD 。