Рэйтынг бібліятэк, якія патрабуюць асаблівай праверкі бяспекі
Сфарміраваны пры арганізацыі Linux Foundation фонд Асноўныя інфраструктурныя ініцыятывы, у рамках якога вядучыя карпарацыі аб'ядналі свае намаганні ў напрамку забеспячэння падтрымкі адкрытых праектаў, задзейнічаных у ключавых галінах кампутарнай індустрыі, правёў другое даследаванне ў рамках праграмы Перапіс, Нацэленай на выяўленне адкрытых праектаў, якія маюць патрэбу ў першачарговым аўдыце бяспекі.
Другое даследаванне арыентавана на аналіз сумесна выкарыстоўванага адкрытага кода, няяўна прымяняецца ў розных карпаратыўных праектах у форме залежнасцяў, загружаных з знешніх рэпазітароў. Уразлівасці і кампраметацыя распрацоўнікаў іншых кампанентаў, задзейнічаных у працы прыкладанняў (supply chain), могуць звесці на нішто ўсе намаганні па ўдасканаленні абароны асноўнага прадукта. У выніку даследавання было безумоўна 10 найболей часта выкарыстоўваных пакетаў на JavaScript і Java, бяспека і актыўнасць суправаджэння якіх патрабуе адмысловай увагі.
У справаздачы таксама разгледжаны пытанні стандартызацыі схемы наймення знешніх кампанентаў, абароны ўліковых запісаў распрацоўшчыкаў і падтрымання састарэлых версій пасля фарміравання новых значных выпускаў. Дадаткова арганізацыяй Linux Foundation апублікаваны дакумент з практычнымі рэкамендацыямі па арганізацыі бяспечнага працэсу распрацоўкі адчыненых праектаў.
У дакуменце разгледжаны пытанні размеркавання роляў у праекце, стварэння каманд, якія адказваюць за бяспеку, вызначэння палітыкі бяспекі, сачэння за паўнамоцтвамі, якія маюць удзельнікі праекта, карэктнага выкарыстання Git пры выпраўленні ўразлівасцяў для пазбягання ўцечак да публікацыі выпраўлення, вызначэння працэсаў рэагавання на паведамленні аб праблемах з бяспекай, укаранення сістэм тэсціравання бяспекі, прымянення працэдур рэцэнзавання кода, уліку звязаных з бяспекай крытэрыяў пры фарміраванні рэлізаў.