Αξιολόγηση βιβλιοθηκών που απαιτούν ειδικούς ελέγχους ασφαλείας
Ίδρυμα που δημιουργήθηκε από το Ίδρυμα Linux Πρωτοβουλία για τις βασικές υποδομές, στο οποίο κορυφαίες εταιρείες ένωσαν τις δυνάμεις τους για να υποστηρίξουν έργα ανοιχτού κώδικα σε βασικούς τομείς της βιομηχανίας υπολογιστών, ξοδεύτηκε δεύτερη μελέτη στο πλαίσιο του προγράμματος Απογραφή, με στόχο τον εντοπισμό έργων ανοιχτού κώδικα που χρειάζονται ελέγχους ασφαλείας προτεραιότητας.
Η δεύτερη μελέτη εστιάζει στην ανάλυση του κοινόχρηστου κώδικα ανοιχτού κώδικα που χρησιμοποιείται σιωπηρά σε διάφορα εταιρικά έργα με τη μορφή εξαρτήσεων που λαμβάνονται από εξωτερικά αποθετήρια. Τα τρωτά σημεία και ο συμβιβασμός των προγραμματιστών εξαρτημάτων τρίτων που εμπλέκονται στη λειτουργία εφαρμογών (αλυσίδα ανεφοδιασμού) μπορούν να ακυρώσουν όλες τις προσπάθειες για τη βελτίωση της προστασίας του κύριου προϊόντος. Ως αποτέλεσμα της μελέτης ήταν προσδιορίζεται Τα 10 πιο συχνά χρησιμοποιούμενα πακέτα σε JavaScript και Java, η ασφάλεια και η δυνατότητα συντήρησης των οποίων απαιτούν ιδιαίτερη προσοχή.
Η αναφορά εξετάζει επίσης ζητήματα τυποποίησης του σχήματος ονοματοδοσίας των εξωτερικών στοιχείων, προστασίας λογαριασμών προγραμματιστών και διατήρησης παλαιού τύπου εκδόσεων μετά την κατασκευή σημαντικών νέων εκδόσεων. Επιπλέον δημοσιεύτηκε από το Ίδρυμα Linux έγγραφο με πρακτικές συστάσεις για την οργάνωση μιας ασφαλούς διαδικασίας ανάπτυξης για έργα ανοιχτού κώδικα.
Το έγγραφο αντιμετωπίζει τα ζητήματα της κατανομής ρόλων στο έργο, τη δημιουργία ομάδων υπεύθυνων για την ασφάλεια, τον καθορισμό πολιτικών ασφαλείας, την παρακολούθηση των εξουσιών που έχουν οι συμμετέχοντες στο έργο, τη σωστή χρήση του Git κατά την επιδιόρθωση ευπαθειών για την αποφυγή διαρροών πριν από τη δημοσίευση της επιδιόρθωσης, τον καθορισμό διαδικασιών για την απόκριση σε αναφορές προβλημάτων ασφάλειας, εφαρμογή συστημάτων δοκιμών ασφαλείας, εφαρμογή διαδικασιών αναθεώρησης κώδικα, λαμβάνοντας υπόψη κριτήρια που σχετίζονται με την ασφάλεια κατά τη δημιουργία εκδόσεων.