بنیادی که توسط بنیاد لینوکس تشکیل شده است ، که در آن شرکت های پیشرو برای حمایت از پروژه های منبع باز در زمینه های کلیدی صنعت کامپیوتر نیروهای خود را ملحق کردند. مطالعه دوم در داخل برنامه ، با هدف شناسایی پروژه های منبع باز که نیاز به ممیزی های امنیتی اولویت دارند.
مطالعه دوم بر تجزیه و تحلیل کد منبع باز مشترک که به طور ضمنی در پروژه های مختلف سازمانی در قالب وابستگی های دانلود شده از مخازن خارجی استفاده می شود، متمرکز است. آسیب پذیری ها و به خطر افتادن توسعه دهندگان اجزای شخص ثالث درگیر در عملکرد برنامه ها (زنجیره تامین) می تواند تمام تلاش ها برای بهبود حفاظت از محصول اصلی را نفی کند. در نتیجه مطالعه این شد 10 بسته پرکاربرد در جاوا اسکریپت و جاوا که امنیت و قابلیت نگهداری آنها نیازمند توجه ویژه است.
کتابخانه های جاوا اسکریپت از مخزن npm:
- (196 هزار خط کد، 11 نویسنده، 7 کامیتر، 11 شماره باز)؛
- (3.8 هزار خط کد، 3 نویسنده، 1 committer، 3 مشکل حل نشده)؛
- (317 خط کد، 3 نویسنده، 3 committer، 4 شماره باز)؛
- (2 هزار خط کد، 11 نویسنده، 11 کامیتر، 3 مشکل حل نشده)؛
- (42 هزار خط کد، 28 نویسنده، 2 کامیتر، 30 شماره باز)؛
- (1.2 هزار خط کد، 14 نویسنده، 6 کامیتر، 38 شماره باز)؛
- (3 هزار خط کد، 2 نویسنده، 1 committer، بدون مسائل باز)؛
- (5.4 هزار خط کد، 5 نویسنده، 2 کامیتر، 41 شماره باز)؛
- (28 هزار خط کد، 10 نویسنده، 3 کامیتر، 21 شماره باز)؛
- (4.2 هزار خط کد، 4 نویسنده، 3 کامیتر، 2 شماره باز).
کتابخانه های جاوا از مخازن Maven:
- (74 هزار خط کد، 7 نویسنده، 6 کامیتر، 40 شماره باز)؛
- (74 هزار خط کد، 23 نویسنده، 2 کامیتر، 363 شماره باز)؛
- ، کتابخانه های گوگل برای جاوا (1 میلیون خط کد، 83 نویسنده، 3 committer، 620 شماره باز)؛
- (51 هزار خط کد، 3 نویسنده، 3 کامیتر، 29 شماره باز)؛
- (73 هزار خط کد، 10 نویسنده، 6 کامیتر، 148 شماره باز)؛
- (121 هزار خط کد، 16 نویسنده، 8 کامیتر، 47 شماره باز)؛
- (131 هزار خط کد، 15 نویسنده، 4 کامیتر، 7 شماره باز)؛
- (154 هزار خط کد، 1 نویسنده، 2 کامیتر، 799 شماره باز)؛
- (168 هزار خط کد، 28 نویسنده، 17 کامیتر، 163 شماره باز)؛
- (38 هزار خط کد، 4 نویسنده، 4 کامیتر، 189 شماره باز)؛
این گزارش همچنین به مسائل استانداردسازی طرح نامگذاری اجزای خارجی، محافظت از حسابهای توسعهدهنده و حفظ نسخههای قدیمی پس از انتشار نسخههای جدید اصلی میپردازد. علاوه بر این توسط بنیاد لینوکس منتشر شده است با توصیه های عملی برای سازماندهی یک فرآیند توسعه ایمن برای پروژه های منبع باز.
این سند به مسائل مربوط به توزیع نقشها در پروژه، ایجاد تیمهای مسئول امنیت، تعریف خطمشیهای امنیتی، نظارت بر قدرتهایی که شرکتکنندگان پروژه دارند، استفاده صحیح از Git هنگام رفع آسیبپذیریها برای جلوگیری از نشت قبل از انتشار اصلاح، تعریف فرآیندهایی برای پاسخ به گزارشها میپردازد. مشکلات امنیتی، پیاده سازی سیستم های تست امنیتی، اعمال روش های بررسی کد، در نظر گرفتن معیارهای مرتبط با امنیت هنگام ایجاد نسخه ها.
منبع: opennet.ru