ProHoster > Blogi > internetiuudised > Erilist turvakontrolli vajavate raamatukogude reiting

Erilist turvakontrolli vajavate raamatukogude reiting

Linuxi sihtasutuse moodustatud sihtasutus Põhiinfrastruktuuri algatus, kus juhtivad ettevõtted ühendasid jõud, et toetada avatud lähtekoodiga projekte arvutitööstuse võtmevaldkondades, kulutatud programmi teine ​​uuring Loenduse, mille eesmärk on tuvastada avatud lähtekoodiga projekte, mis vajavad prioriteetseid turbeauditeid.

Teine uuring keskendub jagatud avatud lähtekoodi analüüsile, mida kasutatakse erinevates ettevõtteprojektides välistest hoidlatest alla laaditud sõltuvuste kujul. Rakenduste (tarneahela) töös osalevate kolmandate osapoolte komponentide arendajate haavatavused ja kompromissid võivad tühistada kõik jõupingutused põhitoote kaitse parandamiseks. Uuringu tulemusena oli kindlasti 10 enimkasutatavat JavaScripti ja Java paketti, mille turvalisus ja hooldatavus nõuavad erilist tähelepanu.

JavaScripti teegid npm-hoidlast:

  • async (196 tuhat koodirida, 11 autorit, 7 sidujat, 11 avatud numbrit);
  • pärib (3.8 tuhat koodirida, 3 autorit, 1 siduja, 3 lahendamata ülesannet);
  • isarray (317 koodirida, 3 autorit, 3 sidujat, 4 avatud numbrit);
  • midagi sarnast (2 tuhat koodirida, 11 autorit, 11 sidujat, 3 lahendamata ülesannet);
  • lodash (42 tuhat koodirida, 28 autorit, 2 sidujat, 30 avatud numbrit);
  • minimist (1.2 tuhat koodirida, 14 autorit, 6 sidujat, 38 avatud numbrit);
  • pärismaalased (3 tuhat koodirida, 2 autorit, 1 volitaja, lahtisi küsimusi pole);
  • qs (5.4 tuhat koodirida, 5 autorit, 2 sidujat, 41 avatud numbrit);
  • loetav-voog (28 tuhat koodirida, 10 autorit, 3 sidujat, 21 avatud numbrit);
  • string_dekooder (4.2 tuhat koodirida, 4 autorit, 3 sidujat, 2 avatud numbrit).

Java teegid Maveni hoidlatest:

  • jackson-core (74 tuhat koodirida, 7 autorit, 6 sidujat, 40 avatud numbrit);
  • jackson-databind (74 tuhat koodirida, 23 autorit, 2 sidujat, 363 avatud numbrit);
  • guajaav.git, Google'i teegid Java jaoks (1 miljon koodirida, 83 autorit, 3 sidujat, 620 avatud numbrit);
  • commons-kodek (51 tuhat koodirida, 3 autorit, 3 sidujat, 29 avatud numbrit);
  • commons-io (73 tuhat koodirida, 10 autorit, 6 sidujat, 148 avatud numbrit);
  • http komponendid-klient (121 tuhat koodirida, 16 autorit, 8 sidujat, 47 avatud numbrit);
  • httpcomponents-core (131 tuhat koodirida, 15 autorit, 4 sidujat, 7 avatud numbrit);
  • tagasilogimine (154 tuhat koodirida, 1 autor, 2 sidujat, 799 avatud numbrit);
  • commons-lang (168 tuhat koodirida, 28 autorit, 17 sidujat, 163 avatud numbrit);
  • slf4j (38 tuhat koodirida, 4 autorit, 4 sidujat, 189 avatud numbrit);

Aruandes käsitletakse ka väliste komponentide nimetamisskeemi standardimise, arendajakontode kaitsmise ja pärandversioonide säilitamise küsimusi pärast suuremate uute väljalasete tegemist. Lisaks avaldas Linuxi sihtasutus dokument praktiliste soovitustega avatud lähtekoodiga projektide turvalise arendusprotsessi korraldamiseks.

Dokumendis käsitletakse rollide jaotamist projektis, turvalisuse eest vastutavate meeskondade loomist, turvapoliitikate määratlemist, projektis osalejate volituste jälgimist, Giti õiget kasutamist turvaaukude parandamisel, et vältida lekkeid enne paranduse avaldamist, aruannetele reageerimise protsesside määratlemist. turvalisusega seotud probleemidest, turvatestisüsteemide juurutamine, koodiülevaatuse protseduuride rakendamine, turvalisusega seotud kriteeriumide arvestamine väljalasete loomisel.

Allikas: opennet.ru

Lisa kommentaar