Die von der Linux Foundation gegründete OpenSSF (Open Source Security Foundation) mit dem Ziel, die Sicherheit von Open-Source-Software zu verbessern, hat eine neue Ausgabe der Census-II-Studie veröffentlicht, die darauf abzielt, Open-Source-Projekte zu identifizieren, die vorrangige Sicherheitsüberprüfungen benötigen. Die Studie konzentriert sich auf die Analyse von gemeinsam genutztem Open-Source-Code, der implizit in verschiedenen Unternehmensprojekten in Form von Abhängigkeiten verwendet wird, die von externen Repositories heruntergeladen werden.
Als Ergebnis wurden Listen der 500 am häufigsten verwendeten Pakete erstellt, deren Sicherheit und Qualität der Wartung besondere Aufmerksamkeit erfordern, da Schwachstellen und Gefährdungen von Entwicklern von Komponenten Dritter auftreten können, die am Betrieb von Anwendungen beteiligt sind (Lieferkette). machen alle Bemühungen zunichte, den Schutz des Hauptprodukts zu verbessern. Insgesamt gibt es 8 Listenoptionen, deren Inhalte nach verschiedenen Kriterien wie der Auslieferung im NPM-Repository und dem Vorhandensein von Versionsinformationen bei der Ermittlung von Abhängigkeiten gereiht werden.
Die 10 am häufigsten verwendeten JavaScript-Pakete aus dem NPM-Repository, die von Anwendungen ohne Bindung an die Version heruntergeladen werden:
- Lodash
- reagieren
- Axios
- debuggen
- @babel/core
- express
- halbwegs
- uuid
- reagieren-dom
- jquery
Die 10 am häufigsten verwendeten Python-Pakete, die über das Pypi-Repository verteilt werden, sind:
- sechs
- pyyaml
- Zugriffe
- urllib3
- Jinja2
- Python-Dateutil
- klicken Sie auf
- ich
- Chardet
- markupsafe
Die 10 am häufigsten verwendeten Ruby-Abhängigkeitspakete, die über das RubyGems-Repository verteilt werden, sind:
- Hüpfburg-Java
- awssdk
- Rallye-Jasmin-Kern
- aws-sdk
- nunit
- cscsl
- highcharts-js-rails
- Antlr3
- rspez
- so wie meins
Die 10 am häufigsten verwendeten Java-Paketabhängigkeiten, die über das Maven-Repository verteilt werden, sind:
- org.slf4j:slf4j-api
- com.fasterxml.jackson.core:jackson-databind
- com.google.guava:guave
- com.fasterxml.jackson.core:jackson-core
- org.springframework:spring-framework-bom
- com.fasterxml.jackson.core:jackson-annotations
- commons-io:commons-io
- junit:junit
- org.apache.commons:commons-lang3
- commons-codec:commons-codec
Die 10 am häufigsten verwendeten .NET-Abhängigkeitspakete, die über das Nuget-Repository verteilt werden, sind:
- json.net
- modernizr
- newtonsoft.json
- castle.core-log4net
- newtonsoft.json
- castle.core-log4net
- Häufige Systemabhängigkeiten
- microsoft.extensions.caching.memory
- microsoft.extensions.dependencyinjection.abstractions
Die 10 am häufigsten verwendeten Abhängigkeitspakete, die für die Go-Sprache verteilt werden, sind:
- grpc/grpc-go
- kubernetes/client-go
- Kubernetes/Apimachinery
- Kubernetes/API
- strecken/aussagen
- kubernetes/klog
- Paket/Fehler
- spf13/cobra
- x/netto
- prometheus/client_golang
Source: opennet.ru