ProHoster > Blog > internet nuus > Gradering van biblioteke wat spesiale sekuriteitskontroles vereis

Gradering van biblioteke wat spesiale sekuriteitskontroles vereis

Stigting gevorm deur die Linux-stigting Kerninfrastruktuur-inisiatief, waarin vooraanstaande korporasies kragte saamgesnoer het om oopbronprojekte in sleutelareas van die rekenaarbedryf te ondersteun, spandeer tweede studie binne die program Sensus, wat daarop gemik is om oopbronprojekte te identifiseer wat prioriteitsekuriteitsoudits benodig.

Die tweede studie fokus op die ontleding van gedeelde oopbronkode wat implisiet in verskeie ondernemingsprojekte gebruik word in die vorm van afhanklikhede wat van eksterne bewaarplekke afgelaai word. Kwesbaarhede en kompromie van ontwikkelaars van derdeparty-komponente wat betrokke is by die werking van toepassings (voorsieningsketting) kan alle pogings ontken om die beskerming van die hoofproduk te verbeter. As gevolg van die studie was dit gedefinieer Die 10 pakkette wat die meeste in JavaScript en Java gebruik word, waarvan die sekuriteit en instandhouding spesiale aandag verg.

JavaScript-biblioteke vanaf npm-bewaarplek:

  • asinkroniseer (196 duisend reëls kode, 11 skrywers, 7 committers, 11 oop uitgawes);
  • erf (3.8 duisend reëls kode, 3 outeurs, 1 committer, 3 onopgeloste probleme);
  • skikking (317 reëls kode, 3 skrywers, 3 committers, 4 oop uitgawes);
  • soort van (2 duisend reëls kode, 11 skrywers, 11 committers, 3 onopgeloste probleme);
  • lodash (42 duisend reëls kode, 28 outeurs, 2 committers, 30 oop uitgawes);
  • minimis (1.2 duisend reëls kode, 14 outeurs, 6 committers, 38 oop uitgawes);
  • inboorlinge (3 duisend reëls kode, 2 skrywers, 1 committer, geen oop kwessies nie);
  • qs (5.4 duisend reëls kode, 5 skrywers, 2 committers, 41 oop uitgawes);
  • leesbare-stroom (28 duisend reëls kode, 10 skrywers, 3 committers, 21 oop uitgawes);
  • string_dekodeerder (4.2 duisend reëls kode, 4 skrywers, 3 committers, 2 oop uitgawes).

Java-biblioteke van Maven-bewaarplekke:

  • jackson-kern (74 duisend reëls kode, 7 outeurs, 6 committers, 40 oop uitgawes);
  • jackson-databind (74 duisend reëls kode, 23 outeurs, 2 committers, 363 oop uitgawes);
  • koejawel.git, Google biblioteke vir Java (1 miljoen reëls kode, 83 outeurs, 3 committers, 620 oop uitgawes);
  • commons-kodek (51 duisend reëls kode, 3 outeurs, 3 committers, 29 oop uitgawes);
  • commons-io (73 duisend reëls kode, 10 outeurs, 6 committers, 148 oop uitgawes);
  • httpkomponente-kliënt (121 duisend reëls kode, 16 skrywers, 8 committers, 47 oop uitgawes);
  • httpkomponente-kern (131 duisend reëls kode, 15 skrywers, 4 committers, 7 oop uitgawes);
  • terugskakel (154 duisend reëls kode, 1 outeur, 2 committers, 799 oop uitgawes);
  • commons-lang (168 duisend reëls kode, 28 outeurs, 17 committers, 163 oop uitgawes);
  • slf4j (38 duisend reëls kode, 4 skrywers, 4 committers, 189 oop uitgawes);

Die verslag spreek ook kwessies aan oor die standaardisering van die naamskema van eksterne komponente, die beskerming van ontwikkelaarrekeninge en die instandhouding van verouderde weergawes nadat groot nuwe vrystellings gemaak is. Boonop gepubliseer deur die Linux Foundation die dokument met praktiese aanbevelings vir die organisering van 'n veilige ontwikkelingsproses vir oopbronprojekte.

Die dokument spreek die kwessies aan van die verspreiding van rolle in die projek, die skep van spanne wat verantwoordelik is vir sekuriteit, die definisie van sekuriteitsbeleide, die monitering van die magte wat projekdeelnemers het, die korrekte gebruik van Git wanneer kwesbaarhede reggestel word om lekkasies te vermy voordat die oplossing gepubliseer word, die definisie van prosesse om op verslae te reageer van probleme met sekuriteit, implementering van sekuriteitstoetsstelsels, toepassing van kodehersieningsprosedures, met inagneming van sekuriteitsverwante kriteria wanneer vrystellings geskep word.

Bron: opennet.ru

Voeg 'n opmerking