Bewertung von Bibliotheken, die besondere Sicherheitskontrollen erfordern
Von der Linux Foundation gegründete Stiftung Kerninfrastrukturinitiative, in dem führende Unternehmen ihre Kräfte bündelten, um Open-Source-Projekte in Schlüsselbereichen der Computerindustrie zu unterstützen, ausgegeben zweites Studium im Rahmen des Programms Volkszählung, mit dem Ziel, Open-Source-Projekte zu identifizieren, die vorrangige Sicherheitsüberprüfungen benötigen.
Die zweite Studie konzentriert sich auf die Analyse von gemeinsam genutztem Open-Source-Code, der implizit in verschiedenen Unternehmensprojekten in Form von Abhängigkeiten verwendet wird, die von externen Repositorys heruntergeladen werden. Schwachstellen und Kompromisse von Entwicklern von Drittanbieterkomponenten, die am Betrieb von Anwendungen beteiligt sind (Lieferkette), können alle Bemühungen zur Verbesserung des Schutzes des Hauptprodukts zunichte machen. Als Ergebnis der Studie war es definitiv Die 10 am häufigsten verwendeten Pakete in JavaScript und Java, deren Sicherheit und Wartbarkeit besondere Aufmerksamkeit erfordern.
Der Bericht befasst sich auch mit Fragen der Standardisierung des Benennungsschemas externer Komponenten, dem Schutz von Entwicklerkonten und der Pflege älterer Versionen nach der Veröffentlichung wichtiger neuer Versionen. Zusätzlich veröffentlicht von der Linux Foundation Dokument mit praktischen Empfehlungen zur Organisation eines sicheren Entwicklungsprozesses für Open-Source-Projekte.
Das Dokument behandelt die Probleme der Rollenverteilung im Projekt, der Bildung von für die Sicherheit verantwortlichen Teams, der Definition von Sicherheitsrichtlinien, der Überwachung der Befugnisse der Projektteilnehmer, der korrekten Verwendung von Git bei der Behebung von Schwachstellen, um Lecks vor der Veröffentlichung des Fixes zu vermeiden, und der Definition von Prozessen für die Reaktion auf Berichte von Problemen mit der Sicherheit, Implementierung von Sicherheitstestsystemen, Anwendung von Code-Review-Verfahren, Berücksichtigung sicherheitsrelevanter Kriterien bei der Erstellung von Releases.