OpenSSF (Open Source Security Foundation), formirana od strane Linux Foundation i čiji je cilj poboljšanje sigurnosti softvera otvorenog koda, objavila je novo izdanje Census II studije, čiji je cilj identificiranje projekata otvorenog koda kojima je potrebna prioritetna sigurnosna revizija. Studija se fokusira na analizu zajedničkog otvorenog koda koji se implicitno koristi u različitim poslovnim projektima u obliku zavisnosti preuzetih iz eksternih repozitorija.
Kao rezultat toga, pripremljene su liste od 500 najčešće korišćenih paketa, čija sigurnost i kvalitet održavanja zahtevaju posebnu pažnju, jer ranjivosti i kompromitovanje programera komponenti trećih strana uključenih u rad aplikacija (lanac snabdevanja) mogu negiraju sve napore da se poboljša zaštita glavnog proizvoda. Postoji ukupno 8 opcija liste, čiji se sadržaj rangira u zavisnosti od različitih kriterijuma, kao što su isporuka u NPM repozitorijum i prisustvo informacija o verziji pri određivanju zavisnosti.
10 najčešće korišćenih JavaScript paketa iz NPM repozitorija, koje preuzimaju aplikacije bez vezivanja za verziju:
- lodash
- reagovati
- axios
- debug
- @babel/core
- izraziti
- semver
- novo
- reagovati-dom
- jQuery
10 najčešće korišćenih Python paketa koji se distribuiraju preko pypi repozitorija su:
- šest
- pyyaml
- zahtjevi
- urllib3
- jinja2
- python-dateutil
- klik
- idna
- chardet
- markupsafe
10 najčešće korištenih Ruby paketa ovisnosti distribuiranih preko RubyGems spremišta su:
- bouncy-castle-java
- awssdk
- rally-jasmin-core
- aws-sdk
- nunit
- cscsl
- highcharts-js-rails
- antlr3
- rspec
- asmine
10 najčešće korišćenih zavisnosti Java paketa distribuiranih preko Maven repozitorija su:
- org.slf4j:slf4j-api
- com.fasterxml.jackson.core:jackson-databind
- com.google.guava:guava
- com.fasterxml.jackson.core:jackson-core
- org.springframework:spring-framework-bom
- com.fasterxml.jackson.core:jackson-annotations
- commons-io:commons-io
- junit:junit
- org.apache.commons:commons-lang3
- commons-codec:commons-codec
10 najčešće korišćenih .NET paketa zavisnosti distribuiranih kroz nuget spremište su:
- json.net
- modernizr
- newtonsoft.json
- castle.core-log4net
- newtonsoft.json
- castle.core-log4net
- freqsystemdependencies
- microsoft.extensions.caching.memory
- microsoft.extensions.dependencyinjection.abstractions
10 najčešće korišćenih paketa zavisnosti distribuiranih za Go jezik su:
- grpc/grpc-go
- kubernetes/client-go
- kubernetes/apimachinery
- kubernetes/api
- stretchr/svjedočiti
- kubernetes/klog
- pkg/greške
- spf13/cobra
- x/net
- prometheus/client_golang
izvor: opennet.ru