Fundazione formata da a Fundazione Linux , in quale i principali corporazioni uniscenu forze per sustene i prughjetti open source in i settori chjave di l'industria di l'informatica, secondu studiu in u prugramma , destinatu à identificà i prughjetti open source chì necessitanu auditu di sicurità di priorità.
U secondu studiu si cuncentra nantu à l'analisi di u codice open source spartutu implicitamente utilizatu in diversi prughjetti di l'impresa in forma di dependenzii scaricati da i repositori esterni. Vulnerabilità è cumprumissu di sviluppatori di cumpunenti di terzu implicati in u funziunamentu di l'applicazioni (catena di fornitura) ponu negà tutti i sforzi per migliurà a prutezzione di u pruduttu principale. In u risultatu di u studiu era I 10 pacchetti più cumunimenti utilizati in JavaScript è Java, chì a sicurezza è a manutenibilità necessitanu una attenzione speciale.
Biblioteche JavaScript da u repository npm:
- (196 mila linee di codice, 11 autori, 7 committers, 11 numeri aperti);
- (3.8 mila linee di codice, 3 autori, 1 committer, 3 prublemi senza risolve);
- (317 linee di codice, 3 autori, 3 committers, 4 numeri aperti);
- (2 mila linee di codice, 11 autori, 11 committers, 3 prublemi senza risolve);
- (42 mila linee di codice, 28 autori, 2 committers, 30 numeri aperti);
- (1.2 mila linee di codice, 14 autori, 6 committers, 38 numeri aperti);
- (3 mila linee di codice, 2 autori, 1 committer, senza prublemi aperti);
- (5.4 mila linee di codice, 5 autori, 2 committers, 41 questioni aperti);
- (28 mila linee di codice, 10 autori, 3 committers, 21 questioni aperti);
- (4.2 mila linee di codice, 4 autori, 3 committers, 2 questioni aperti).
Biblioteche Java da i repositori Maven:
- (74 mila linee di codice, 7 autori, 6 committers, 40 numeri aperti);
- (74 mila linee di codice, 23 autori, 2 committers, 363 numeri aperti);
- , Biblioteche Google per Java (1 milione di linee di codice, 83 autori, 3 committers, 620 emissioni aperti);
- (51 mila linee di codice, 3 autori, 3 committers, 29 numeri aperti);
- (73 mila linee di codice, 10 autori, 6 committers, 148 numeri aperti);
- (121 mila linee di codice, 16 autori, 8 committers, 47 numeri aperti);
- (131 mila linee di codice, 15 autori, 4 committers, 7 numeri aperti);
- (154 mila linee di codice, 1 autore, 2 committers, 799 numeri aperti);
- (168 mila linee di codice, 28 autori, 17 committers, 163 numeri aperti);
- (38 mila linee di codice, 4 autori, 4 committers, 189 numeri aperti);
U rapportu affronta ancu i prublemi di standardizazione di u schema di nomenclatura di cumpunenti esterni, prutezzione di i cunti di sviluppatore, è mantene e versioni legacy dopu chì sò fatti grandi novi versioni. Inoltre publicatu da a Fundazione Linux cù cunsiglii pratichi per urganizà un prucessu di sviluppu sicuru per i prughjetti open source.
U documentu affronta i prublemi di distribuzione di roli in u prugettu, creazione di squadre rispunsevuli di a sicurità, definisce e pulitiche di sicurezza, monitorizà i puteri chì i participanti di u prughjettu anu, utilizendu currettamente Git quandu corregge e vulnerabilità per evità perdite prima di publicà a correzione, definisce i prucessi per risponde à i rapporti. di prublemi cù a sicurità, implementazione di sistemi di teste di sicurezza, applicazione di e prucedure di rivisione di codice, tenendu in contu i criterii di sicurità quandu creanu e versioni.
Source: opennet.ru