ProHoster > Блог > internet vijesti > Ocjena biblioteka koje zahtijevaju posebne sigurnosne provjere

Ocjena biblioteka koje zahtijevaju posebne sigurnosne provjere

Fondacija koju je formirala Linux fondacija Inicijativa za jezgru infrastrukture, u kojem su vodeće korporacije udružile snage kako bi podržale projekte otvorenog koda u ključnim područjima računarske industrije, potrošeno drugi studij u okviru programa popis, usmjeren na identifikaciju projekata otvorenog koda kojima su potrebne prioritetne sigurnosne revizije.

Druga studija se fokusira na analizu zajedničkog otvorenog koda koji se implicitno koristi u različitim poslovnim projektima u obliku zavisnosti preuzetih iz eksternih repozitorija. Ranjivosti i kompromisi od strane programera komponenti trećih strana uključenih u rad aplikacija (lanac snabdevanja) mogu poništiti sve napore da se poboljša zaštita glavnog proizvoda. Kao rezultat studije je definitivno 10 najčešće korištenih paketa u JavaScript-u i Javi, čija sigurnost i mogućnost održavanja zahtijevaju posebnu pažnju.

JavaScript biblioteke iz npm repozitorija:

  • async (196 hiljada redova koda, 11 autora, 7 obveznika, 11 otvorenih brojeva);
  • nasljeđuje (3.8 hiljada linija koda, 3 autora, 1 izvršilac, 3 nerešena problema);
  • isarray (317 redova koda, 3 autora, 3 obveznika, 4 otvorena pitanja);
  • vrsta (2 hiljade redova koda, 11 autora, 11 obveznika, 3 nerešena problema);
  • lodash (42 hiljade redova koda, 28 autora, 2 obveznika, 30 otvorenih brojeva);
  • minimalistički (1.2 hiljade redova koda, 14 autora, 6 obveznika, 38 otvorenih brojeva);
  • domoroci (3 hiljade linija koda, 2 autora, 1 izvršilac, nema otvorenih pitanja);
  • qs (5.4 hiljade redova koda, 5 autora, 2 obveznika, 41 otvoreno pitanje);
  • readable-stream (28 hiljade redova koda, 10 autora, 3 obveznika, 21 otvoreno pitanje);
  • string_decoder (4.2 hiljade redova koda, 4 autora, 3 obveznika, 2 otvorena broja).

Java biblioteke iz Maven spremišta:

  • jackson-core (74 hiljade redova koda, 7 autora, 6 obveznika, 40 otvorenih brojeva);
  • jackson-databind (74 hiljade redova koda, 23 autora, 2 obveznika, 363 otvorenih brojeva);
  • guava.git, Google biblioteke za Javu (1 milion linija koda, 83 autora, 3 izvršioca, 620 otvorenih izdanja);
  • commons-codec (51 hiljada linija koda, 3 autora, 3 izvršioca, 29 otvorenih brojeva);
  • commons-io (73 hiljade redova koda, 10 autora, 6 obveznika, 148 otvorenih brojeva);
  • httpcomponents-client (121 hiljada linija koda, 16 autora, 8 obveznika, 47 otvorenih brojeva);
  • httpcomponents-core (131 hiljada redova koda, 15 autora, 4 obveznika, 7 otvorenih brojeva);
  • logback (154 hiljade redova koda, 1 autor, 2 izvršioca, 799 otvorenih pitanja);
  • commons-lang (168 hiljada redova koda, 28 autora, 17 obveznika, 163 otvorena pitanja);
  • slf4j (38 hiljada redova koda, 4 autora, 4 izvršioca, 189 otvorenih pitanja);

Izvještaj se također bavi pitanjima standardizacije šeme imenovanja vanjskih komponenti, zaštite računa programera i održavanja naslijeđenih verzija nakon velikih novih izdanja. Dodatno objavila Linux fondacija dokument sa praktičnim preporukama za organizovanje sigurnog procesa razvoja za projekte otvorenog koda.

Dokument se bavi pitanjima raspodjele uloga u projektu, kreiranjem timova odgovornih za sigurnost, definiranjem sigurnosnih politika, praćenjem ovlasti koje imaju učesnici projekta, pravilnom upotrebom Gita prilikom popravljanja ranjivosti kako bi se izbjeglo curenje prije objavljivanja popravka, definiranjem procesa za odgovaranje na izvještaje problema sa bezbednošću, implementacijom sistema za testiranje bezbednosti, primenom procedura pregleda koda, uzimajući u obzir bezbednosne kriterijume prilikom kreiranja izdanja.

izvor: opennet.ru

Dodajte komentar