Valutazione di e biblioteche chì necessitanu cuntrolli di sicurità speciali
Fundazione formata da a Fundazione Linux Initiative per l'infrastruttura di core, in quale i principali corporazioni uniscenu forze per sustene i prughjetti open source in i settori chjave di l'industria di l'informatica, spesi secondu studiu in u prugramma Censimentu, destinatu à identificà i prughjetti open source chì necessitanu auditu di sicurità di priorità.
U secondu studiu si cuncentra nantu à l'analisi di u codice open source spartutu implicitamente utilizatu in diversi prughjetti di l'impresa in forma di dependenzii scaricati da i repositori esterni. Vulnerabilità è cumprumissu di sviluppatori di cumpunenti di terzu implicati in u funziunamentu di l'applicazioni (catena di fornitura) ponu negà tutti i sforzi per migliurà a prutezzione di u pruduttu principale. In u risultatu di u studiu era definitu I 10 pacchetti più cumunimenti utilizati in JavaScript è Java, chì a sicurezza è a manutenibilità necessitanu una attenzione speciale.
Biblioteche JavaScript da u repository npm:
async (196 mila linee di codice, 11 autori, 7 committers, 11 numeri aperti);
eredita (3.8 mila linee di codice, 3 autori, 1 committer, 3 prublemi senza risolve);
isarray (317 linee di codice, 3 autori, 3 committers, 4 numeri aperti);
tippu di (2 mila linee di codice, 11 autori, 11 committers, 3 prublemi senza risolve);
lodash (42 mila linee di codice, 28 autori, 2 committers, 30 numeri aperti);
minimistu (1.2 mila linee di codice, 14 autori, 6 committers, 38 numeri aperti);
nativi (3 mila linee di codice, 2 autori, 1 committer, senza prublemi aperti);
qs (5.4 mila linee di codice, 5 autori, 2 committers, 41 questioni aperti);
leggibile-stream (28 mila linee di codice, 10 autori, 3 committers, 21 questioni aperti);
string_decoder (4.2 mila linee di codice, 4 autori, 3 committers, 2 questioni aperti).
Biblioteche Java da i repositori Maven:
jackson-core (74 mila linee di codice, 7 autori, 6 committers, 40 numeri aperti);
jackson-databind (74 mila linee di codice, 23 autori, 2 committers, 363 numeri aperti);
guava.git, Biblioteche Google per Java (1 milione di linee di codice, 83 autori, 3 committers, 620 emissioni aperti);
commons-codec (51 mila linee di codice, 3 autori, 3 committers, 29 numeri aperti);
cumuni-io (73 mila linee di codice, 10 autori, 6 committers, 148 numeri aperti);
httpcomponents-client (121 mila linee di codice, 16 autori, 8 committers, 47 numeri aperti);
httpcomponents-core (131 mila linee di codice, 15 autori, 4 committers, 7 numeri aperti);
logback (154 mila linee di codice, 1 autore, 2 committers, 799 numeri aperti);
lingua comune (168 mila linee di codice, 28 autori, 17 committers, 163 numeri aperti);
slf4j (38 mila linee di codice, 4 autori, 4 committers, 189 numeri aperti);
U rapportu affronta ancu i prublemi di standardizazione di u schema di nomenclatura di cumpunenti esterni, prutezzione di i cunti di sviluppatore, è mantene e versioni legacy dopu chì sò fatti grandi novi versioni. Inoltre publicatu da a Fundazione Linux u documentu cù cunsiglii pratichi per urganizà un prucessu di sviluppu sicuru per i prughjetti open source.
U documentu affronta i prublemi di distribuzione di roli in u prugettu, creazione di squadre rispunsevuli di a sicurità, definisce e pulitiche di sicurezza, monitorizà i puteri chì i participanti di u prughjettu anu, utilizendu currettamente Git quandu corregge e vulnerabilità per evità perdite prima di publicà a correzione, definisce i prucessi per risponde à i rapporti. di prublemi cù a sicurità, implementazione di sistemi di teste di sicurezza, applicazione di e prucedure di rivisione di codice, tenendu in contu i criterii di sicurità quandu creanu e versioni.