ProHoster > Блог > interretaj novaĵoj > Taksado de bibliotekoj postulantaj specialajn sekureckontrolojn

Taksado de bibliotekoj postulantaj specialajn sekureckontrolojn

Fondaĵo formita de la Linukso-Fondaĵo Kerna Infrastruktura Iniciato, en kiu gvidaj kompanioj kuniĝis por subteni malfermfontajn projektojn en ŝlosilaj areoj de la komputila industrio, elspezita dua studo ene de la programo kontado, celita identigi malfermfontajn projektojn kiuj bezonas prioritatajn sekurecreviziojn.

La dua studo temigas la analizon de komuna malferma fontkodo implicite uzata en diversaj entreprenaj projektoj en la formo de dependecoj elŝutitaj de eksteraj deponejoj. Vundeblecoj kaj kompromiso de programistoj de triaj komponantoj implikitaj en la funkciado de aplikoj (provizoĉeno) povas nei ĉiujn klopodojn plibonigi la protekton de la ĉefa produkto. Kiel rezulto de la studo ĝi estis difinita La 10 plej ofte uzataj pakaĵoj en JavaScript kaj Java, kies sekureco kaj konservebleco postulas specialan atenton.

JavaScript-bibliotekoj de npm-deponejo:

  • async (196 mil kodlinioj, 11 aŭtoroj, 7 komitantoj, 11 malfermitaj numeroj);
  • heredas (3.8 mil linioj de kodo, 3 aŭtoroj, 1 kommitisto, 3 nesolvitaj problemoj);
  • isarray (317 linioj de kodo, 3 aŭtoroj, 3 komitantoj, 4 malfermitaj numeroj);
  • ia (2 mil linioj de kodo, 11 aŭtoroj, 11 komitantoj, 3 nesolvitaj problemoj);
  • lodash (42 mil linioj de kodo, 28 aŭtoroj, 2 komitantoj, 30 malfermitaj numeroj);
  • minimumisto (1.2 mil linioj de kodo, 14 aŭtoroj, 6 komitantoj, 38 malfermitaj numeroj);
  • indiĝenoj (3 mil linioj de kodo, 2 aŭtoroj, 1 kommitisto, neniuj malfermitaj temoj);
  • qs (5.4 mil linioj de kodo, 5 aŭtoroj, 2 komitantoj, 41 malfermitaj numeroj);
  • legebla-rivereto (28 mil linioj de kodo, 10 aŭtoroj, 3 komitantoj, 21 malfermitaj numeroj);
  • string_decoder (4.2 mil linioj de kodo, 4 aŭtoroj, 3 komitantoj, 2 malfermitaj numeroj).

Java-bibliotekoj de Maven-deponejoj:

  • jackson-kerno (74 mil linioj de kodo, 7 aŭtoroj, 6 komitantoj, 40 malfermitaj numeroj);
  • jackson-databind (74 mil linioj de kodo, 23 aŭtoroj, 2 komitantoj, 363 malfermitaj numeroj);
  • guava.git, Guglo-bibliotekoj por Java (1 miliono da linioj de kodo, 83 aŭtoroj, 3 komitistoj, 620 malfermitaj numeroj);
  • komuna-kodeko (51 mil linioj de kodo, 3 aŭtoroj, 3 komitantoj, 29 malfermitaj numeroj);
  • commons-io (73 mil linioj de kodo, 10 aŭtoroj, 6 komitantoj, 148 malfermitaj numeroj);
  • httpkomponentoj-kliento (121 mil linioj de kodo, 16 aŭtoroj, 8 komitantoj, 47 malfermitaj numeroj);
  • httpkomponentoj-kerno (131 mil linioj de kodo, 15 aŭtoroj, 4 komitantoj, 7 malfermitaj numeroj);
  • ensaluti (154 mil linioj de kodo, 1 aŭtoro, 2 komitantoj, 799 malfermitaj numeroj);
  • komuna lingvo (168 mil linioj de kodo, 28 aŭtoroj, 17 komitantoj, 163 malfermitaj numeroj);
  • slf4j (38 mil kodlinioj, 4 aŭtoroj, 4 kommitantoj, 189 malfermitaj numeroj);

La raporto ankaŭ traktas problemojn pri normigado de la nomskemo de eksteraj komponantoj, protekti programistajn kontojn kaj konservi heredajn versiojn post kiam gravaj novaj eldonoj estas faritaj. Aldone eldonita de la Linukso-Fondaĵo la dokumento kun praktikaj rekomendoj por organizi sekuran evoluprocezon por malfermfontaj projektoj.

La dokumento traktas la problemojn pri disdonado de roloj en la projekto, kreado de teamoj respondecaj pri sekureco, difinado de sekurecaj politikoj, monitorado de la potencoj, kiujn havas la projektopartoprenantoj, ĝuste uzante Git kiam riparas vundeblecojn por eviti likojn antaŭ publikigado de la riparo, difinante procezojn por respondi al raportoj. de problemoj kun sekureco, efektivigo de sekurecaj testaj sistemoj, apliko de kodaj reviziaj proceduroj, konsiderante sekurec-rilatajn kriteriojn dum kreado de eldonoj.

fonto: opennet.ru

Aldoni komenton