Die OpenSSF (Open Source Security Foundation), gegründet von der Linux Foundation mit dem Ziel, die Sicherheit von Open-Source-Software zu verbessern, hat eine neue Ausgabe der Studie Census II veröffentlicht, die darauf abzielt, open-source Projekte zu identifizieren, die eine priorisierte Sicherheitsprüfung benötigen. Die Studie konzentriert sich auf die Analyse von gemeinsam genutztem Open-Source-Code, der implizit in verschiedenen Unternehmensprojekten als Abhängigkeiten verwendet wird, die aus externen Repositories geladen werden.
Insgesamt wurden Listen von 500 der am häufigsten verwendeten Pakete erstellt, deren Sicherheit und Qualität der Betreuung besondere Aufmerksamkeit erfordern, da Schwachstellen und die Kompromittierung von Entwicklern Dritter, die in den Anwendungen (Supply Chain) verwendet werden, alle Bemühungen zur Verbesserung der Sicherheit des Hauptprodukts zunichte machen können. Insgesamt werden 8 Listenoptionen angeboten, deren Inhalte je nach verschiedenen Kriterien, wie der Bereitstellung in NPM-Repositories und der Verfügbarkeit von Versionsinformationen bei der Bestimmung von Abhängigkeiten, gewichtet sind.
Die 10 am häufigsten verwendeten JavaScript-Pakete aus dem NPM-Repository, die von version-unabhängigen Anwendungen heruntergeladen werden:
- lodash
- react
- axios
- debug
- @babel/core
- express
- semver
- uuid
- react-dom
- jquery
Die 10 am häufigsten verwendeten Python-Pakete in Abhängigkeiten, die über das pypi-Repository verteilt werden:
- six
- pyyaml
- requests
- urllib3
- jinja2
- python-dateutil
- click
- idna
- chardet
- markupsafe
Die 10 am häufigsten verwendeten Ruby-Pakete in Abhängigkeiten, die über das RubyGems-Repository verteilt werden:
- bouncy-castle-java
- awssdk
- rally-jasmine-core
- aws-sdk
- nunit
- cscsl
- highcharts-js-rails
- antlr3
- rspec
- asmine
Die 10 am häufigsten verwendeten Java-Pakete in Abhängigkeiten, die über das Maven-Repository verteilt werden:
- org.slf4j:slf4j-api
- com.fasterxml.jackson.core:jackson-databind
- com.google.guava:guava
- com.fasterxml.jackson.core:jackson-core
- org.springframework:spring-framework-bom
- com.fasterxml.jackson.core:jackson-annotations
- commons-io:commons-io
- junit:junit
- org.apache.commons:commons-lang3
- commons-codec:commons-codec
Die 10 am häufigsten verwendeten .NET-Pakete in Abhängigkeiten, die über das NuGet-Repository verteilt werden:
- json.net
- modernizr
- newtonsoft.json
- castle.core-log4net
- newtonsoft.json
- castle.core-log4net
- freqsystemdependencies
- microsoft.extensions.caching.memory
- microsoft.extensions.dependencyinjection.abstractions
Die 10 am häufigsten verwendeten Pakete in Abhängigkeiten, die für die Programmiersprache Go verteilt werden:
- grpc/grpc-go
- kubernetes/client-go
- kubernetes/apimachinery
- kubernetes/api
- stretchr/testify
- kubernetes/klog
- pkg/errors
- spf13/cobra
- x/net
- prometheus/client_golang
Quelle: opennet.ru
