Fundació formada per la Fundació Linux , en què les principals corporacions van unir forces per donar suport a projectes de codi obert en àrees clau de la indústria informàtica, segon estudi dins del programa , orientat a identificar projectes de codi obert que necessiten auditories de seguretat prioritàries.
El segon estudi se centra en l'anàlisi del codi font obert compartit utilitzat implícitament en diversos projectes empresarials en forma de dependències descarregades des de repositoris externs. Les vulnerabilitats i el compromís dels desenvolupadors de components de tercers implicats en el funcionament d'aplicacions (cadena de subministrament) poden negar tots els esforços per millorar la protecció del producte principal. Com a resultat de l'estudi va ser Els 10 paquets més utilitzats en JavaScript i Java, la seguretat i el manteniment dels quals requereixen una atenció especial.
Biblioteques JavaScript del repositori npm:
- (196 mil línies de codi, 11 autors, 7 committers, 11 números oberts);
- (3.8 mil línies de codi, 3 autors, 1 committer, 3 problemes no resolts);
- (317 línies de codi, 3 autors, 3 committers, 4 números oberts);
- (2 mil línies de codi, 11 autors, 11 committers, 3 problemes no resolts);
- (42 mil línies de codi, 28 autors, 2 committers, 30 números oberts);
- (1.2 mil línies de codi, 14 autors, 6 committers, 38 números oberts);
- (3 mil línies de codi, 2 autors, 1 committer, sense problemes oberts);
- (5.4 mil línies de codi, 5 autors, 2 committers, 41 números oberts);
- (28 mil línies de codi, 10 autors, 3 committers, 21 números oberts);
- (4.2 mil línies de codi, 4 autors, 3 committers, 2 números oberts).
Biblioteques Java dels repositoris Maven:
- (74 mil línies de codi, 7 autors, 6 committers, 40 números oberts);
- (74 mil línies de codi, 23 autors, 2 committers, 363 números oberts);
- , biblioteques de Google per a Java (1 milió de línies de codi, 83 autors, 3 committers, 620 números oberts);
- (51 mil línies de codi, 3 autors, 3 committers, 29 números oberts);
- (73 mil línies de codi, 10 autors, 6 committers, 148 números oberts);
- (121 mil línies de codi, 16 autors, 8 committers, 47 números oberts);
- (131 mil línies de codi, 15 autors, 4 committers, 7 números oberts);
- (154 mil línies de codi, 1 autor, 2 committers, 799 números oberts);
- (168 mil línies de codi, 28 autors, 17 committers, 163 números oberts);
- (38 mil línies de codi, 4 autors, 4 committers, 189 números oberts);
L'informe també aborda els problemes d'estandardització de l'esquema de nomenclatura dels components externs, la protecció dels comptes de desenvolupadors i el manteniment de les versions heretades després de fer nous llançaments importants. Publicat a més per la Fundació Linux amb recomanacions pràctiques per organitzar un procés de desenvolupament segur per a projectes de codi obert.
El document aborda els problemes de la distribució de rols en el projecte, la creació d'equips responsables de la seguretat, la definició de polítiques de seguretat, el seguiment dels poders que tenen els participants del projecte, l'ús correcte de Git a l'hora de solucionar vulnerabilitats per evitar filtracions abans de publicar la correcció, la definició de processos per respondre als informes. de problemes de seguretat, implementació de sistemes de proves de seguretat, aplicació de procediments de revisió de codi, tenint en compte criteris relacionats amb la seguretat a l'hora de crear versions.
Font: opennet.ru