Fundación formada por la Fundación Linux , en el que corporaciones líderes unieron fuerzas para apoyar proyectos de código abierto en áreas clave de la industria informática, segundo estudio dentro del programa , destinado a identificar proyectos de código abierto que necesitan auditorías de seguridad prioritarias.
El segundo estudio se centra en el análisis del código fuente abierto compartido utilizado implícitamente en varios proyectos empresariales en forma de dependencias descargadas de repositorios externos. Las vulnerabilidades y el compromiso de los desarrolladores de componentes de terceros involucrados en el funcionamiento de las aplicaciones (cadena de suministro) pueden frustrar todos los esfuerzos para mejorar la protección del producto principal. Como resultado del estudio fue Los 10 paquetes más utilizados en JavaScript y Java, cuya seguridad y mantenibilidad requieren especial atención.
Bibliotecas de JavaScript del repositorio npm:
- (196 mil líneas de código, 11 autores, 7 confirmadores, 11 números abiertos);
- (3.8 mil líneas de código, 3 autores, 1 confirmador, 3 problemas sin resolver);
- (317 líneas de código, 3 autores, 3 confirmadores, 4 temas abiertos);
- (2 mil líneas de código, 11 autores, 11 confirmadores, 3 problemas sin resolver);
- (42 mil líneas de código, 28 autores, 2 confirmadores, 30 números abiertos);
- (1.2 mil líneas de código, 14 autores, 6 autores, 38 problemas abiertos);
- (3 mil líneas de código, 2 autores, 1 confirmador, sin problemas abiertos);
- (5.4 mil líneas de código, 5 autores, 2 confirmadores, 41 problemas abiertos);
- (28 mil líneas de código, 10 autores, 3 confirmadores, 21 problemas abiertos);
- (4.2 mil líneas de código, 4 autores, 3 confirmadores, 2 números abiertos).
Bibliotecas Java de los repositorios de Maven:
- (74 mil líneas de código, 7 autores, 6 autores, 40 problemas abiertos);
- (74 mil líneas de código, 23 autores, 2 autores, 363 problemas abiertos);
- , bibliotecas de Google para Java (1 millón de líneas de código, 83 autores, 3 confirmadores, 620 problemas abiertos);
- (51 mil líneas de código, 3 autores, 3 confirmadores, 29 problemas abiertos);
- (73 mil líneas de código, 10 autores, 6 autores, 148 problemas abiertos);
- (121 mil líneas de código, 16 autores, 8 confirmadores, 47 números abiertos);
- (131 mil líneas de código, 15 autores, 4 autores, 7 números abiertos);
- (154 mil líneas de código, 1 autor, 2 confirmadores, 799 problemas abiertos);
- (168 mil líneas de código, 28 autores, 17 confirmadores, 163 problemas abiertos);
- (38 mil líneas de código, 4 autores, 4 confirmadores, 189 problemas abiertos);
El informe también aborda cuestiones relacionadas con la estandarización del esquema de nombres de los componentes externos, la protección de las cuentas de los desarrolladores y el mantenimiento de las versiones heredadas después de que se realicen nuevas versiones importantes. Publicado adicionalmente por la Fundación Linux. con recomendaciones prácticas para organizar un proceso de desarrollo seguro para proyectos de código abierto.
El documento aborda los temas de distribución de roles en el proyecto, creación de equipos responsables de la seguridad, definición de políticas de seguridad, monitoreo de los poderes que tienen los participantes del proyecto, uso correcto de Git al corregir vulnerabilidades para evitar filtraciones antes de publicar la solución, definición de procesos para responder a informes. de problemas de seguridad, implementación de sistemas de pruebas de seguridad, aplicación de procedimientos de revisión de código, teniendo en cuenta criterios relacionados con la seguridad al crear versiones.
Fuente: opennet.ru