Mais de 85% dos módulos npm e 75% no PyPI não possuem manutenção regular, mostra pesquisa da OpenSSF

Além disso, apenas 30% dos módulos npm e 34% no PyPI possuem a prática de code review, algo esperado, no entanto, dado que a maioria dos repositórios possem apenas um mantenedor.

A métrica Workflow Perigoso, única considerada crítica pela pesquisa, positivamente mostrou que 99% dos módulos npm e PyPI fazem conferências para código não confiável e injeção de scripts como resultado de GitHub Actions mal configuradas.

A Open Source Security Foundation foi estabelecida em 2020 pela Linux Foundation com apoio do GitHub, Google, Microsoft, IBM e outros.