Graddio llyfrgelloedd sydd angen gwiriadau diogelwch arbennig

Sylfaen a ffurfiwyd gan y Linux Foundation Menter Seilwaith Craidd, lle ymunodd corfforaethau blaenllaw i gefnogi prosiectau ffynhonnell agored mewn meysydd allweddol o'r diwydiant cyfrifiaduron, gwario ail astudiaeth o fewn y rhaglen Cyfrifiad, gyda'r nod o nodi prosiectau ffynhonnell agored sydd angen archwiliadau diogelwch â blaenoriaeth.

Mae'r ail astudiaeth yn canolbwyntio ar ddadansoddi cod ffynhonnell agored a rennir a ddefnyddir yn ymhlyg mewn amrywiol brosiectau menter ar ffurf dibyniaethau wedi'u llwytho i lawr o ystorfeydd allanol. Gall gwendidau a chyfaddawdu datblygwyr cydrannau trydydd parti sy'n ymwneud â gweithredu cymwysiadau (cadwyn gyflenwi) negyddu pob ymdrech i wella amddiffyniad y prif gynnyrch. O ganlyniad i'r astudiaeth roedd diffiniedig Y 10 pecyn a ddefnyddir amlaf yn JavaScript a Java, y mae angen rhoi sylw arbennig i'w diogelwch a'u gallu i'w cynnal.

Llyfrgelloedd JavaScript o gadwrfa npm:

• async (196 mil o linellau o god, 11 awdur, 7 pwyllgor, 11 rhifyn agored);
• yn etifeddu (3.8 mil o linellau cod, 3 awdur, 1 troseddwr, 3 problem heb eu datrys);
• isarae (317 llinell o god, 3 awdur, 3 o ymroddwyr, 4 rhifyn agored);
• math-o (2 fil o linellau o god, 11 awdur, 11 o droseddwyr, 3 problem heb eu datrys);
• lodash (42 mil o linellau o god, 28 awdur, 2 bwyllgor, 30 rhifyn agored);
• minimydd (1.2 mil o linellau o god, 14 awdur, 6 o gomisiynwyr, 38 rhifyn agored);
• brodorion (3 mil o linellau cod, 2 awdur, 1 troseddwr, dim materion agored);
• qs (5.4 mil o linellau cod, 5 awdur, 2 bwyllgor, 41 rhifyn agored);
• darllenadwy-ffrwd (28 mil o linellau cod, 10 awdur, 3 bwyllgor, 21 rhifyn agored);
• llinyn_datgodiwr (4.2 mil o linellau cod, 4 awdur, 3 o ymroddwyr, 2 rifyn agored).

Llyfrgelloedd Java o gadwrfeydd Maven:

• jackson-craidd (74 mil o linellau o god, 7 awdur, 6 o gomisiynwyr, 40 rhifyn agored);
• jackson-rhwym data (74 mil o linellau o god, 23 awdur, 2 o gomisiynwyr, 363 rhifyn agored);
• guava.git, Llyfrgelloedd Google ar gyfer Java (1 miliwn o linellau o god, 83 o awduron, 3 o ymroddwyr, 620 o faterion agored);
• commons-codec (51 mil o linellau o god, 3 awdur, 3 o ymroddwyr, 29 rhifyn agored);
• comin-io (73 mil o linellau o god, 10 awdur, 6 o gomisiynwyr, 148 rhifyn agored);
• httpcomponents-cleient (121 mil o linellau cod, 16 o awduron, 8 o feddygon, 47 o faterion agored);
• httpcomponents-craidd (131 mil o linellau o god, 15 awdur, 4 pwyllgor, 7 rhifyn agored);
• mewngofnodi (154 mil o linellau o god, 1 awdur, 2 o feddygon, 799 o faterion agored);
• comin-lang (168 mil o linellau o god, 28 o awduron, 17 o weinidogion, 163 o rifynau agored);
• slf4j (38 mil o linellau o god, 4 awdur, 4 o ymroddwyr, 189 o rifynau agored);

Mae'r adroddiad hefyd yn mynd i'r afael â materion safoni'r cynllun enwi cydrannau allanol, diogelu cyfrifon datblygwyr, a chynnal fersiynau etifeddol ar ôl rhyddhau datganiadau newydd mawr. Cyhoeddwyd hefyd gan y Linux Foundation y ddogfen gydag argymhellion ymarferol ar gyfer trefnu proses ddatblygu ddiogel ar gyfer prosiectau ffynhonnell agored.

Mae'r ddogfen yn mynd i'r afael â materion dosbarthu rolau yn y prosiect, creu timau sy'n gyfrifol am ddiogelwch, diffinio polisïau diogelwch, monitro'r pwerau sydd gan gyfranogwyr y prosiect, defnyddio Git yn gywir wrth drwsio gwendidau i osgoi gollyngiadau cyn cyhoeddi'r atgyweiriad, diffinio prosesau ar gyfer ymateb i adroddiadau problemau gyda diogelwch, gweithredu systemau profi diogelwch, cymhwyso gweithdrefnau adolygu cod, gan ystyried meini prawf sy'n ymwneud â diogelwch wrth greu datganiadau.

Ffynhonnell: opennet.ru