Gradering van biblioteke wat spesiale sekuriteitskontroles vereis
Stigting gevorm deur die Linux-stigting Kerninfrastruktuur-inisiatief, waarin vooraanstaande korporasies kragte saamgesnoer het om oopbronprojekte in sleutelareas van die rekenaarbedryf te ondersteun, spandeer tweede studie binne die program Sensus, wat daarop gemik is om oopbronprojekte te identifiseer wat prioriteitsekuriteitsoudits benodig.
Die tweede studie fokus op die ontleding van gedeelde oopbronkode wat implisiet in verskeie ondernemingsprojekte gebruik word in die vorm van afhanklikhede wat van eksterne bewaarplekke afgelaai word. Kwesbaarhede en kompromie van ontwikkelaars van derdeparty-komponente wat betrokke is by die werking van toepassings (voorsieningsketting) kan alle pogings ontken om die beskerming van die hoofproduk te verbeter. As gevolg van die studie was dit gedefinieer Die 10 pakkette wat die meeste in JavaScript en Java gebruik word, waarvan die sekuriteit en instandhouding spesiale aandag verg.
Die verslag spreek ook kwessies aan oor die standaardisering van die naamskema van eksterne komponente, die beskerming van ontwikkelaarrekeninge en die instandhouding van verouderde weergawes nadat groot nuwe vrystellings gemaak is. Boonop gepubliseer deur die Linux Foundation die dokument met praktiese aanbevelings vir die organisering van 'n veilige ontwikkelingsproses vir oopbronprojekte.
Die dokument spreek die kwessies aan van die verspreiding van rolle in die projek, die skep van spanne wat verantwoordelik is vir sekuriteit, die definisie van sekuriteitsbeleide, die monitering van die magte wat projekdeelnemers het, die korrekte gebruik van Git wanneer kwesbaarhede reggestel word om lekkasies te vermy voordat die oplossing gepubliseer word, die definisie van prosesse om op verslae te reageer van probleme met sekuriteit, implementering van sekuriteitstoetsstelsels, toepassing van kodehersieningsprosedures, met inagneming van sekuriteitsverwante kriteria wanneer vrystellings geskep word.