رتبه بندی کتابخانه هایی که به بررسی های امنیتی خاص نیاز دارند
بنیادی که توسط بنیاد لینوکس تشکیل شده است ابتکار زیرساخت اصلی، که در آن شرکت های پیشرو برای حمایت از پروژه های منبع باز در زمینه های کلیدی صنعت کامپیوتر نیروهای خود را ملحق کردند. صرف کرد مطالعه دوم در داخل برنامه سرشماری، با هدف شناسایی پروژه های منبع باز که نیاز به ممیزی های امنیتی اولویت دارند.
مطالعه دوم بر تجزیه و تحلیل کد منبع باز مشترک که به طور ضمنی در پروژه های مختلف سازمانی در قالب وابستگی های دانلود شده از مخازن خارجی استفاده می شود، متمرکز است. آسیب پذیری ها و به خطر افتادن توسعه دهندگان اجزای شخص ثالث درگیر در عملکرد برنامه ها (زنجیره تامین) می تواند تمام تلاش ها برای بهبود حفاظت از محصول اصلی را نفی کند. در نتیجه مطالعه این شد تعریف شده است 10 بسته پرکاربرد در جاوا اسکریپت و جاوا که امنیت و قابلیت نگهداری آنها نیازمند توجه ویژه است.
کتابخانه های جاوا اسکریپت از مخزن npm:
async (196 هزار خط کد، 11 نویسنده، 7 کامیتر، 11 شماره باز)؛
ارث می برد (3.8 هزار خط کد، 3 نویسنده، 1 committer، 3 مشکل حل نشده)؛
ورود به سیستم (154 هزار خط کد، 1 نویسنده، 2 کامیتر، 799 شماره باز)؛
زبان مشترک (168 هزار خط کد، 28 نویسنده، 17 کامیتر، 163 شماره باز)؛
slf4j (38 هزار خط کد، 4 نویسنده، 4 کامیتر، 189 شماره باز)؛
این گزارش همچنین به مسائل استانداردسازی طرح نامگذاری اجزای خارجی، محافظت از حسابهای توسعهدهنده و حفظ نسخههای قدیمی پس از انتشار نسخههای جدید اصلی میپردازد. علاوه بر این توسط بنیاد لینوکس منتشر شده است سند با توصیه های عملی برای سازماندهی یک فرآیند توسعه ایمن برای پروژه های منبع باز.
این سند به مسائل مربوط به توزیع نقشها در پروژه، ایجاد تیمهای مسئول امنیت، تعریف خطمشیهای امنیتی، نظارت بر قدرتهایی که شرکتکنندگان پروژه دارند، استفاده صحیح از Git هنگام رفع آسیبپذیریها برای جلوگیری از نشت قبل از انتشار اصلاح، تعریف فرآیندهایی برای پاسخ به گزارشها میپردازد. مشکلات امنیتی، پیاده سازی سیستم های تست امنیتی، اعمال روش های بررسی کد، در نظر گرفتن معیارهای مرتبط با امنیت هنگام ایجاد نسخه ها.