ProHoster > Blog > internetové zprávy > Hodnocení knihoven vyžadujících speciální bezpečnostní kontroly

Hodnocení knihoven vyžadujících speciální bezpečnostní kontroly

Foundation vytvořená Linux Foundation Iniciativa pro základní infrastrukturu, ve kterém přední korporace spojily své síly k podpoře open source projektů v klíčových oblastech počítačového průmyslu, strávil druhé studium v ​​rámci programu Sčítání lidu, zaměřené na identifikaci open source projektů, které vyžadují prioritní bezpečnostní audity.

Druhá studie se zaměřuje na analýzu sdíleného open source kódu implicitně používaného v různých podnikových projektech ve formě závislostí stažených z externích repozitářů. Zranitelnosti a kompromitace vývojářů komponent třetích stran zapojených do provozu aplikací (dodavatelského řetězce) mohou negovat veškeré snahy o zlepšení ochrany hlavního produktu. Výsledkem studie bylo rozhodně 10 nejčastěji používaných balíčků v JavaScriptu a Javě, jejichž zabezpečení a udržovatelnost vyžadují zvláštní pozornost.

Knihovny JavaScriptu z úložiště npm:

  • async (196 tisíc řádků kódu, 11 autorů, 7 zadavatelů, 11 otevřených čísel);
  • zdědí (3.8 tisíce řádků kódu, 3 autoři, 1 zadavatel, 3 nevyřešené problémy);
  • isarray (317 řádků kódu, 3 autoři, 3 zadavatelé, 4 otevřená čísla);
  • druh (2 tisíce řádků kódu, 11 autorů, 11 zadavatelů, 3 nevyřešené problémy);
  • lodash (42 tisíc řádků kódu, 28 autorů, 2 zadavatelé, 30 otevřených čísel);
  • minimalista (1.2 tisíce řádků kódu, 14 autorů, 6 zadavatelů, 38 otevřených čísel);
  • domorodci (3 tisíce řádků kódu, 2 autoři, 1 autor, žádné otevřené problémy);
  • qs (5.4 tisíce řádků kódu, 5 autorů, 2 zadavatelé, 41 otevřených čísel);
  • čitelný-stream (28 tisíce řádků kódu, 10 autorů, 3 zadavatelé, 21 otevřených čísel);
  • string_decoder (4.2 tisíce řádků kódu, 4 autoři, 3 zadavatelé, 2 otevřená čísla).

Java knihovny z repozitářů Maven:

  • jackson-core (74 tisíce řádků kódu, 7 autorů, 6 zadavatelů, 40 otevřených čísel);
  • jackson-databind (74 tisíce řádků kódu, 23 autorů, 2 zadavatelů, 363 otevřených čísel);
  • guava.git, knihovny Google pro Javu (1 milion řádků kódu, 83 autorů, 3 zadavatelé, 620 otevřených problémů);
  • commons-kodek (51 tisíc řádků kódu, 3 autoři, 3 zadavatelé, 29 otevřených čísel);
  • commons-io (73 tisíce řádků kódu, 10 autorů, 6 zadavatelů, 148 otevřených čísel);
  • httpcomponents-client (121 tisíc řádků kódu, 16 autorů, 8 zadavatelů, 47 otevřených čísel);
  • httpcomponents-core (131 tisíc řádků kódu, 15 autorů, 4 zadavatelé, 7 otevřených čísel);
  • přihlášení (154 tisíc řádků kódu, 1 autor, 2 zadavatelé, 799 otevřených čísel);
  • Commons-lang (168 tisíc řádků kódu, 28 autorů, 17 zadavatelů, 163 otevřených čísel);
  • slf4j (38 tisíc řádků kódu, 4 autoři, 4 zadavatelé, 189 otevřených čísel);

Zpráva se také zabývá problémy standardizace schématu pojmenování externích komponent, ochrany vývojářských účtů a udržování starších verzí po vydání velkých nových verzí. Dodatečně zveřejněno Linux Foundation dokument s praktickými doporučeními pro organizaci bezpečného procesu vývoje pro open source projekty.

Dokument řeší otázky distribuce rolí v projektu, vytváření týmů odpovědných za bezpečnost, definování bezpečnostních politik, sledování pravomocí, které mají účastníci projektu, správné používání Gitu při opravě zranitelností, aby se předešlo únikům před publikováním opravy, definování procesů pro reakce na zprávy problémů s bezpečností, implementace bezpečnostních testovacích systémů, aplikace procedur kontroly kódu, s přihlédnutím k bezpečnostním kritériím při vytváření verzí.

Zdroj: opennet.ru

Přidat komentář