OpenSSF (Open Source Security Foundation), vytvořená Linux Foundation a zaměřená na zlepšení bezpečnosti open source softwaru, zveřejnila nové vydání studie Census II, zaměřené na identifikaci open source projektů, které potřebují prioritní bezpečnostní audity. Studie se zaměřuje na analýzu sdíleného open source kódu, který je implicitně využíván v různých podnikových projektech ve formě závislostí stažených z externích úložišť.
V důsledku toho byly připraveny seznamy 500 nejčastěji používaných balíčků, jejichž zabezpečení a kvalita údržby vyžaduje zvláštní pozornost, protože zranitelnosti a kompromitace vývojářů komponent třetích stran zapojených do provozu aplikací (dodavatelského řetězce) mohou negovat veškeré snahy o zlepšení ochrany hlavního produktu. K dispozici je celkem 8 možností seznamu, jejichž obsah je řazen v závislosti na různých kritériích, jako je doručení v úložišti NPM a přítomnost informací o verzi při určování závislostí.
10 nejčastěji používaných balíčků JavaScriptu z úložiště NPM, stahovaných aplikacemi bez vazby na verzi:
- lodash
- reagovat
- axios
- ladit
- @babel/core
- expresní
- prasnice
- Nový
- reagovat-dom
- jquery
10 nejčastěji používaných balíčků Pythonu distribuovaných prostřednictvím úložiště pypi:
- šest
- pyyaml
- žádosti
- urllib3
- jinja2
- python-dateutil
- cvaknutí
- idna
- chardet
- markupsafe
10 nejčastěji používaných balíčků závislostí Ruby distribuovaných prostřednictvím úložiště RubyGems:
- skákací hrad-java
- awssdk
- rally-jasmine-core
- aws-sdk
- jeptiška
- cscsl
- highcharts-js-rails
- antlr3
- rspec
- asmine
10 nejčastěji používaných závislostí balíčků Java distribuovaných prostřednictvím úložiště Maven:
- org.slf4j:slf4j-api
- com.fasterxml.jackson.core:jackson-databind
- com.google.guava:guava
- com.fasterxml.jackson.core:jackson-core
- org.springframework:spring-framework-bom
- com.fasterxml.jackson.core:jackson-anotace
- commons-io:commons-io
- junit: junit
- org.apache.commons:commons-lang3
- commons-codec:commons-codec
10 nejčastěji používaných balíčků závislostí .NET distribuovaných prostřednictvím úložiště nuget:
- json.net
- modernizovat
- newtonsoft.json
- castle.core-log4net
- newtonsoft.json
- castle.core-log4net
- frekvenční systémové závislosti
- microsoft.extensions.caching.memory
- microsoft.extensions.dependencyinjection.abstractions
10 nejčastěji používaných balíčků závislostí distribuovaných pro jazyk Go je:
- grpc/grpc-go
- kubernetes/client-go
- kubernetes/apimachinery
- kubernetes/api
- nosítka/svědčit
- kubernetes/klog
- pkg/chyby
- spf13/kobra
- x/net
- prometheus/client_golang
Zdroj: opennet.ru