<div dir="auto"><div dir="auto">Hi all,</div><div dir="auto"><br></div><div dir="auto">just sharing an interesting factoid I came across today about the project. </div><div dir="auto"><br></div><div dir="auto">Google, as part of the Open Source Security Foundation, yesterday released a new project dubbed "Criticality Score", attempting (I am simplifying here for brevity) to create a metric of "how critical" a software is in the software ecosystem. </div><div dir="auto">You can read more accurate info about it here:</div><div dir="auto"><a href="https://opensource.googleblog.com/2020/12/finding-critical-open-source-projects.html">https://opensource.googleblog.com/2020/12/finding-critical-open-source-projects.html</a><br></div><div dir="auto"><br></div><div dir="auto">They publish the collected metadata and the resulting score (based on the formula described at <<a href="https://github.com/ossf/criticality_score">https://github.com/ossf/criticality_score</a>>) online as a CSV file.</div><div dir="auto"><br></div><div dir="auto">Sidenote: Notice the data seems to refer only to whatever the github API for a repo says, so for example OpenSSL is only 95 months old because that's when the github mirror was created (I opened an issue about this).</div><div dir="auto"><br></div><div dir="auto">Anyway, they split the data by language, and, among the analyzed C projects, OpenSSL expectedly scores quite high, being 6th in the top 200 measured C projects.</div><div dir="auto"><br></div><div dir="auto">Here is a link directly to the data:</div><div dir="auto"><a href="https://commondatastorage.googleapis.com/ossf-criticality-score/index.html">https://commondatastorage.googleapis.com/ossf-criticality-score/index.html</a></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">Cheers, </div><div dir="auto"><br></div><div dir="auto">Nicola</div></div>