Сфарміраваны пры арганізацыі Linux Foundation фонд , у рамках якога вядучыя карпарацыі аб'ядналі свае намаганні ў напрамку забеспячэння падтрымкі адкрытых праектаў, задзейнічаных у ключавых галінах кампутарнай індустрыі, другое даследаванне ў рамках праграмы , Нацэленай на выяўленне адкрытых праектаў, якія маюць патрэбу ў першачарговым аўдыце бяспекі.
Другое даследаванне арыентавана на аналіз сумесна выкарыстоўванага адкрытага кода, няяўна прымяняецца ў розных карпаратыўных праектах у форме залежнасцяў, загружаных з знешніх рэпазітароў. Уразлівасці і кампраметацыя распрацоўнікаў іншых кампанентаў, задзейнічаных у працы прыкладанняў (supply chain), могуць звесці на нішто ўсе намаганні па ўдасканаленні абароны асноўнага прадукта. У выніку даследавання было 10 найболей часта выкарыстоўваных пакетаў на JavaScript і Java, бяспека і актыўнасць суправаджэння якіх патрабуе адмысловай увагі.
Бібліятэкі JavaScript з рэпазітара npm:
- (196 тысяч радкоў кода, 11 аўтараў, 7 комітараў, 11 незачыненых праблем);
- (3.8 тысячы радкоў кода, 3 аўтары, 1 комітэр, 3 незакрытыя праблемы);
- (317 радкоў кода, 3 аўтары, 3 комітэры, 4 незакрытыя праблемы);
- (2 тысячы радкоў кода, 11 аўтараў, 11 комітараў, 3 незакрытыя праблемы);
- (42 тысячы радкоў кода, 28 аўтараў, 2 комітары, 30 незачыненых праблем);
- (1.2 тысячы радкоў кода, 14 аўтараў, 6 комітараў, 38 незачыненых праблем);
- (3 тысячы радкоў кода, 2 аўтары, 1 комітэр, няма незачыненых праблем);
- (5.4 тысяч радкоў кода, 5 аўтараў, 2 комітара, 41 незачыненая праблема);
- (28 тысяч радкоў кода, 10 аўтараў, 3 комітара, 21 незачыненая праблема);
- (4.2 тысячы радкоў кода, 4 аўтары, 3 комітэры, 2 незакрытыя праблемы).
Бібліятэкі Java з рэпазітараў Maven:
- (74 тысячы радкоў кода, 7 аўтараў, 6 комітараў, 40 незачыненых праблем);
- (74 тысячы радкоў кода, 23 аўтараў, 2 комітараў, 363 незачыненых праблем);
- , бібліятэкі Google для Java (1 мільён радкоў кода, 83 аўтара, 3 комітара, 620 незачыненых праблем);
- (51 тысяча радкоў кода, 3 аўтары, 3 комітэры, 29 незачыненых праблем);
- (73 тысячы радкоў кода, 10 аўтараў, 6 комітараў, 148 незачыненых праблем);
- (121 тысяча радкоў кода, 16 аўтараў, 8 комітараў, 47 незачыненых праблем);
- (131 тысяча радкоў кода, 15 аўтараў, 4 комітара, 7 незачыненых праблем);
- (154 тысячы радкоў кода, 1 аўтар, 2 комітэры, 799 незачыненых праблем);
- (168 тысяч радкоў кода, 28 аўтараў, 17 комітараў, 163 незачыненых праблемы);
- (38 тысяч радкоў кода, 4 аўтары, 4 комітэры, 189 незакрытых праблемы);
У справаздачы таксама разгледжаны пытанні стандартызацыі схемы наймення знешніх кампанентаў, абароны ўліковых запісаў распрацоўшчыкаў і падтрымання састарэлых версій пасля фарміравання новых значных выпускаў. Дадаткова арганізацыяй Linux Foundation апублікаваны з практычнымі рэкамендацыямі па арганізацыі бяспечнага працэсу распрацоўкі адчыненых праектаў.
У дакуменце разгледжаны пытанні размеркавання роляў у праекце, стварэння каманд, якія адказваюць за бяспеку, вызначэння палітыкі бяспекі, сачэння за паўнамоцтвамі, якія маюць удзельнікі праекта, карэктнага выкарыстання Git пры выпраўленні ўразлівасцяў для пазбягання ўцечак да публікацыі выпраўлення, вызначэння працэсаў рэагавання на паведамленні аб праблемах з бяспекай, укаранення сістэм тэсціравання бяспекі, прымянення працэдур рэцэнзавання кода, уліку звязаных з бяспекай крытэрыяў пры фарміраванні рэлізаў.
Крыніца: opennet.ru