Názory k článku
Google představil metriku pro určení kritických open source projektů

Zdroj v mouseoveru? Co přijde příště, mouseover ve zdroji? :)

Co zprávička neuvádí je fakt, že to podporuje pouze projekty na githubu. Jinými slovy ten výčet balíků v druhé půlce má pochybnou výpovědní hodnotu.

je to takové poloviční až čtvrtinové, třeba sqlite tam vůbec není (nemá asi dostatek issues a nových features), přitom to je databáze asi s největším počtem instancí na všem možné. Za to tam ale najdeme go-sqlite3, který je wrapper nad sqlite.

Těch nesmyslů v jejich top 200 je více, hodnotit kritičnost podle github a ještě podle aktivitu je dost šílené a neúčinné.

Vtipné je, že ten Munroeův obrázek má ve svém článku i Google, ale přitom se v té metrice nepočítá s tím, jaké projekty na daném projektu závisí (je tam jen zmínka v commit zprávě, což je dost slabá metrika).

criticality_score --repo https://github.com/ossf/criticality_score
name: criticality_score
url: https://github.com/ossf/criticality_score
language: Python
created_since: 1
updated_since: 0
contributor_count: 2
org_count: 1
commit_frequency: 0.8
recent_releases_cou­nt: 1
closed_issues_cou­nt: 14
updated_issues_cou­nt: 20
comment_frequency: 1.1
dependents_count: 0
criticality_score: 0.17495

Bych cekal, ze tam budou mit nejaky if, ktery jim vrati 1 :-D

Hele, muze to mit metriku asi lepsi, ale zas je to urcite uzitecny. Na free software vsichni kaslou a o to vic i na jejich vyvojare.
Pomoc je vitana.

Hmm, o řadě těch věcí jsem nikdy neslyšel. A třeba Python tam není. Takže moc dobré výsledky to neposkytuje.

Python (jestli myslíte interpret) tam je pod jménem "Cpython" v https://www.googleapis.com/download/storage/v1/b/ossf-criticality-score/o/python_top_200.csv?generation=1607667470204905&alt=media na šestém místě.

Jinak zrovna v tomto CSV je mezi prvními deseti projekty minimálně sedm hodně používaných (cpython, matplotlib, pandas, pytest...), ale popravdě zrovna první dva projekty jsem musel dohledávat :-)

No jo, ale to už jsou vyfiltrované python položky. Jak si na tom python stojí v obecném žebříčku. Kolik je před ním 'kritických' projektů, o kterých nikdy nikdo neslyšel?

Ale, že by se Ansible nedostalo ani mezi TOP200? Commitů má sice "jenom" asi polovinu než Saltstack (pořád jsou to desetitisíce), ale třeba přispěvatelů má zase dvakrát tolik.

to je divný. no zkusím si tím jejich skriptem projet naše závislosti a tranzitivní závislosti a uvidíme.

V každém případě Ansible má nějakých 50k commitů v devel branchi, 20k forků a 46k hvězdiček, takže za mě jeden z nej aktivních projektů.

Zprávička je trochu zavádějící, protože z ní vypadlo několik důležitých informací: "Our initial evaluation metrics include .... We also provide a way to add your own metric(s). ... If you're a maintainer of a critical software package and are interested in getting help, funding, or infrastructure to run your project, reach out to the OpenSSF’s Securing Critical Projects working group here." Jinými slovy: ta metrika se může změnit a návod, kde získat podporu, je přímo v původním oznámení.