ProHoster > Blog > internet xəbərləri > Xüsusi təhlükəsizlik yoxlamaları tələb edən kitabxanaların reytinqi

Xüsusi təhlükəsizlik yoxlamaları tələb edən kitabxanaların reytinqi

Linux Fondu tərəfindən yaradılmış fond Əsas İnfrastruktur Təşəbbüsü, aparıcı korporasiyaların kompüter sənayesinin əsas sahələrində açıq mənbə layihələrini dəstəkləmək üçün güclərini birləşdirdiyi, sərf etdi proqram çərçivəsində ikinci təhsil Census, prioritet təhlükəsizlik auditlərinə ehtiyacı olan açıq mənbəli layihələri müəyyən etməyə yönəlmişdir.

İkinci tədqiqat xarici depolardan endirilən asılılıqlar şəklində müxtəlif müəssisə layihələrində gizli şəkildə istifadə edilən paylaşılan açıq mənbə kodunun təhlilinə yönəlmişdir. Tətbiqlərin (təchizat zənciri) işləməsində iştirak edən üçüncü tərəf komponentlərinin inkişaf etdiricilərinin zəiflikləri və kompromisləri əsas məhsulun qorunmasını yaxşılaşdırmaq üçün bütün səyləri inkar edə bilər. Araşdırma nəticəsində belə oldu mütləq JavaScript və Java-da ən çox istifadə edilən 10 paket, onların təhlükəsizliyi və davamlılığı xüsusi diqqət tələb edir.

Npm deposundan JavaScript kitabxanaları:

  • async (196 min sətir kod, 11 müəllif, 7 komitent, 11 açıq məsələ);
  • miras alır (3.8 min sətir kod, 3 müəllif, 1 tərtibçi, 3 həll edilməmiş problem);
  • isarray (317 sətir kod, 3 müəllif, 3 komitent, 4 açıq məsələ);
  • kimi (2 min sətir kod, 11 müəllif, 11 komitent, 3 həll edilməmiş problem);
  • lodaş (42 min sətir kod, 28 müəllif, 2 komitent, 30 açıq məsələ);
  • minimalist (1.2 min sətir kod, 14 müəllif, 6 komitent, 38 açıq məsələ);
  • yerli (3 min sətir kod, 2 müəllif, 1 icraçı, açıq məsələlər yoxdur);
  • qs (5.4 min sətir kod, 5 müəllif, 2 komitent, 41 açıq məsələ);
  • oxuna bilən axın (28 min sətir kod, 10 müəllif, 3 komitent, 21 açıq məsələ);
  • string_dekoder (4.2 min sətir kod, 4 müəllif, 3 komitent, 2 açıq məsələ).

Maven depolarından Java kitabxanaları:

  • cekson nüvəsi (74 min sətir kod, 7 müəllif, 6 komitent, 40 açıq məsələ);
  • jackson-databind (74 min sətir kod, 23 müəllif, 2 komitent, 363 açıq məsələ);
  • guava.git, Java üçün Google kitabxanaları (1 milyon sətir kod, 83 müəllif, 3 müəllif, 620 açıq buraxılış);
  • commons-kodek (51 min sətir kod, 3 müəllif, 3 komitent, 29 açıq məsələ);
  • commons-io (73 min sətir kod, 10 müəllif, 6 komitent, 148 açıq məsələ);
  • httpcomponents-müştəri (121 min sətir kod, 16 müəllif, 8 komitent, 47 açıq məsələ);
  • httpcomponents-core (131 min sətir kod, 15 müəllif, 4 komitent, 7 açıq məsələ);
  • logback (154 min sətir kod, 1 müəllif, 2 komitent, 799 açıq məsələ);
  • commons-lang (168 min sətir kod, 28 müəllif, 17 komitent, 163 açıq məsələ);
  • slf4j (38 min sətir kod, 4 müəllif, 4 komitent, 189 açıq məsələ);

Hesabat həmçinin xarici komponentlərin adlandırma sxeminin standartlaşdırılması, tərtibatçı hesablarının qorunması və əsas yeni buraxılışlardan sonra köhnə versiyaların saxlanması məsələlərini həll edir. Əlavə olaraq Linux Fondu tərəfindən nəşr edilmişdir sənəd açıq mənbə layihələri üçün təhlükəsiz inkişaf prosesinin təşkili üçün praktiki tövsiyələrlə.

Sənəd layihədə rolların bölüşdürülməsi, təhlükəsizliyə cavabdeh komandaların yaradılması, təhlükəsizlik siyasətlərinin müəyyənləşdirilməsi, layihə iştirakçılarının səlahiyyətlərinin monitorinqi, həlli dərc etməzdən əvvəl sızmaların qarşısını almaq üçün boşluqların düzəldilməsi zamanı Git-dən düzgün istifadə, hesabatlara cavab vermək üçün proseslərin müəyyənləşdirilməsi məsələlərini əhatə edir. relizlərin yaradılması zamanı təhlükəsizliklə bağlı meyarlar nəzərə alınmaqla təhlükəsizliklə bağlı problemlərin, təhlükəsizlik test sistemlərinin tətbiqi, kodun nəzərdən keçirilməsi prosedurlarının tətbiqi.

Mənbə: opennet.ru

Добавить комментарий