Bedømmelse af biblioteker, der kræver særlige sikkerhedstjek
Foundation dannet af Linux Foundation Core Infrastructure Initiative, hvor førende virksomheder gik sammen om at støtte open source-projekter inden for nøgleområder i computerindustrien, brugt andet studie inden for uddannelsen Folketælling, rettet mod at identificere open source-projekter, der har behov for prioriterede sikkerhedsrevisioner.
Den anden undersøgelse fokuserer på analysen af delt åben kildekode, der implicit anvendes i forskellige virksomhedsprojekter i form af afhængigheder downloadet fra eksterne lagre. Sårbarheder og kompromittering af udviklere af tredjepartskomponenter involveret i driften af applikationer (forsyningskæden) kan ophæve alle bestræbelser på at forbedre beskyttelsen af hovedproduktet. Som et resultat af undersøgelsen var det helt bestemt De 10 mest brugte pakker i JavaScript og Java, hvis sikkerhed og vedligeholdelse kræver særlig opmærksomhed.
Rapporten behandler også spørgsmål om standardisering af navneskemaet for eksterne komponenter, beskyttelse af udviklerkonti og vedligeholdelse af ældre versioner efter større nye udgivelser. Derudover udgivet af Linux Foundation dokument med praktiske anbefalinger til at organisere en sikker udviklingsproces for open source-projekter.
Dokumentet behandler problemerne med fordeling af roller i projektet, oprettelse af teams, der er ansvarlige for sikkerhed, definere sikkerhedspolitikker, overvågning af de beføjelser, som projektdeltagere har, korrekt brug af Git ved fixering af sårbarheder for at undgå lækager før udgivelse af rettelsen, definering af processer til at svare på rapporter af problemer med sikkerhed, implementering af sikkerhedstestsystemer, anvendelse af kodegennemgangsprocedurer, under hensyntagen til sikkerhedsrelaterede kriterier ved oprettelse af udgivelser.