ProHoster > Blog > Interneteko albisteak > Segurtasun-kontrol bereziak behar dituzten liburutegien balorazioa

Segurtasun-kontrol bereziak behar dituzten liburutegien balorazioa

Linux Fundazioak eratutako fundazioa Oinarrizko Azpiegituren Ekimena, zeinetan nagusien korporazioek indarrak batu zituzten kode irekiko proiektuak babesteko informatika industriaren funtsezko arloetan, gastatu programaren barruan bigarren ikasketa Zentsu, lehentasunezko segurtasun auditoretzak behar dituzten kode irekiko proiektuak identifikatzea helburu.

Bigarren azterketa, enpresa-proiektu ezberdinetan inplizituki erabiltzen den iturburu irekiko kode partekatuaren azterketan zentratzen da kanpoko biltegietatik deskargatutako menpekotasunen moduan. Aplikazioen funtzionamenduan parte hartzen duten hirugarrenen osagaien garatzaileen ahultasunek eta arriskuek (hornikuntza-katea) produktu nagusiaren babesa hobetzeko ahalegin guztiak ezezta ditzakete. Azterketaren ondorioz izan zen definitu JavaScript eta Javan gehien erabiltzen diren 10 paketeak, horien segurtasunak eta mantentze-gaitasunak arreta berezia eskatzen dute.

JavaScript liburutegiak npm biltegitik:

  • async (196 mila kode-lerro, 11 egile, 7 committer, 11 ale ireki);
  • oinordetzan hartzen du (3.8 mila kode lerro, 3 egile, 1 committer, 3 arazo konpondu gabe);
  • isarray (317 kode lerro, 3 egile, 3 committers, 4 ale ireki);
  • modukoa (2 mila kode-lerro, 11 egile, 11 committer, konpondu gabeko 3 arazo);
  • lodash (42 mila kode lerro, 28 egile, 2 committer, 30 ale ireki);
  • minimista (1.2 mila kode lerro, 14 egile, 6 committer, 38 ale ireki);
  • bertakoak (3 mila kode lerro, 2 egile, 1 committer, gai irekirik ez);
  • qs (5.4 mila kode lerro, 5 egile, 2 committer, 41 ale ireki);
  • irakurgarri-korrontea (28 mila kode lerro, 10 egile, 3 committer, 21 ale ireki);
  • kate_deskodetzailea (4.2 mila kode lerro, 4 egile, 3 committer, 2 ale ireki).

Maven biltegietako Java liburutegiak:

  • jackson-core (74 mila kode lerro, 7 egile, 6 committer, 40 ale ireki);
  • jackson-databind (74 mila kode lerro, 23 egile, 2 committer, 363 ale ireki);
  • guava.git, Javarako Google liburutegiak (1 milioi kode lerro, 83 egile, 3 committer, 620 ale ireki);
  • commons-codec (51 mila kode lerro, 3 egile, 3 committer, 29 ale ireki);
  • komuna-io (73 mila kode lerro, 10 egile, 6 committer, 148 ale ireki);
  • http osagaiak-bezeroa (121 mila kode lerro, 16 egile, 8 committer, 47 ale ireki);
  • httpcomponents-core (131 mila kode lerro, 15 egile, 4 committer, 7 ale ireki);
  • saioa atzera (154 mila kode lerro, 1 egile, 2 committers, 799 ale ireki);
  • komun-hizkuntza (168 mila kode lerro, 28 egile, 17 committer, 163 ale ireki);
  • slf4j (38 mila kode lerro, 4 egile, 4 committers, 189 ale ireki);

Txostenak kanpoko osagaien izendapen eskema estandarizatzeko, garatzaileen kontuak babesteko eta bertsio zaharrak mantentzearen inguruko gaiak ere jorratzen ditu argitalpen berriak egin ondoren. Gainera, Linux Fundazioak argitaratua dokumentua kode irekiko proiektuetarako garapen prozesu seguru bat antolatzeko gomendio praktikoekin.

Dokumentuak proiektuko rolak banatzeari buruzko gaiak jorratzen ditu, segurtasunaz arduratzen diren taldeak sortzea, segurtasun politikak zehaztea, proiektuko parte-hartzaileek dituzten eskumenak kontrolatzea, Git zuzen erabiltzea ahuleziak konpontzerakoan, konponketa argitaratu aurretik filtrazioak saihesteko, txostenei erantzuteko prozesuak zehaztea. segurtasun-arazoak, segurtasun-proba sistemak ezartzea, kodea berrikusteko prozedurak aplikatzea, segurtasunarekin lotutako irizpideak kontutan hartuz bertsioak sortzerakoan.

Iturria: opennet.ru

Gehitu iruzkin berria