Foundation dannet af Linux Foundation , hvor førende virksomheder gik sammen om at støtte open source-projekter inden for nøgleområder i computerindustrien, andet studie inden for uddannelsen , rettet mod at identificere open source-projekter, der har behov for prioriterede sikkerhedsrevisioner.
Den anden undersøgelse fokuserer på analysen af delt åben kildekode, der implicit anvendes i forskellige virksomhedsprojekter i form af afhængigheder downloadet fra eksterne lagre. Sårbarheder og kompromittering af udviklere af tredjepartskomponenter involveret i driften af applikationer (forsyningskæden) kan ophæve alle bestræbelser på at forbedre beskyttelsen af hovedproduktet. Som et resultat af undersøgelsen var det De 10 mest brugte pakker i JavaScript og Java, hvis sikkerhed og vedligeholdelse kræver særlig opmærksomhed.
JavaScript-biblioteker fra npm-lageret:
- (196 tusinde linjer kode, 11 forfattere, 7 committers, 11 åbne numre);
- (3.8 tusind linjer kode, 3 forfattere, 1 committer, 3 uløste problemer);
- (317 linjer kode, 3 forfattere, 3 committers, 4 åbne numre);
- (2 tusinde linjer kode, 11 forfattere, 11 committers, 3 uløste problemer);
- (42 tusind linjer kode, 28 forfattere, 2 committers, 30 åbne numre);
- (1.2 tusinde linjer kode, 14 forfattere, 6 committers, 38 åbne numre);
- (3 tusinde linjer kode, 2 forfattere, 1 committer, ingen åbne problemer);
- (5.4 tusinde linjer kode, 5 forfattere, 2 committers, 41 åbne numre);
- (28 tusinde linjer kode, 10 forfattere, 3 committers, 21 åbne numre);
- (4.2 tusinde linjer kode, 4 forfattere, 3 committers, 2 åbne numre).
Java-biblioteker fra Maven repositories:
- (74 tusinde linjer kode, 7 forfattere, 6 committers, 40 åbne numre);
- (74 tusinde linjer kode, 23 forfattere, 2 committers, 363 åbne numre);
- , Google-biblioteker til Java (1 million linjer kode, 83 forfattere, 3 committers, 620 åbne numre);
- (51 tusinde linjer kode, 3 forfattere, 3 committers, 29 åbne numre);
- (73 tusinde linjer kode, 10 forfattere, 6 committers, 148 åbne numre);
- (121 tusinde linjer kode, 16 forfattere, 8 committers, 47 åbne numre);
- (131 tusinde linjer kode, 15 forfattere, 4 committers, 7 åbne numre);
- (154 tusind linjer kode, 1 forfatter, 2 committers, 799 åbne numre);
- (168 tusind linjer kode, 28 forfattere, 17 committers, 163 åbne numre);
- (38 tusinde linjer kode, 4 forfattere, 4 committers, 189 åbne numre);
Rapporten behandler også spørgsmål om standardisering af navneskemaet for eksterne komponenter, beskyttelse af udviklerkonti og vedligeholdelse af ældre versioner efter større nye udgivelser. Derudover udgivet af Linux Foundation med praktiske anbefalinger til at organisere en sikker udviklingsproces for open source-projekter.
Dokumentet behandler problemerne med fordeling af roller i projektet, oprettelse af teams, der er ansvarlige for sikkerhed, definere sikkerhedspolitikker, overvågning af de beføjelser, som projektdeltagere har, korrekt brug af Git ved fixering af sårbarheder for at undgå lækager før udgivelse af rettelsen, definering af processer til at svare på rapporter af problemer med sikkerhed, implementering af sikkerhedstestsystemer, anvendelse af kodegennemgangsprocedurer, under hensyntagen til sikkerhedsrelaterede kriterier ved oprettelse af udgivelser.
Kilde: opennet.ru