ProHoster > Blogi > netin uutisia > Erityisiä turvatarkastuksia vaativien kirjastojen luokitus

Erityisiä turvatarkastuksia vaativien kirjastojen luokitus

Linux Foundationin perustama säätiö Ydininfrastruktuurialoite, jossa johtavat yritykset yhdistivät voimansa tukeakseen avoimen lähdekoodin projekteja tietokoneteollisuuden avainalueilla, käytetty toinen tutkimus ohjelman sisällä Väestönlaskenta, jonka tarkoituksena on tunnistaa avoimen lähdekoodin projektit, jotka tarvitsevat ensisijaisia ​​tietoturvatarkastuksia.

Toinen tutkimus keskittyy jaetun avoimen lähdekoodin analyysiin, jota käytetään implisiittisesti erilaisissa yritysprojekteissa ulkoisista tietovarastoista ladattujen riippuvuuksien muodossa. Sovellusten toimintaan (toimitusketjuun) osallistuvien kolmannen osapuolen komponenttien kehittäjien haavoittuvuudet ja kompromissit voivat tehdä tyhjäksi kaikki pyrkimykset parantaa päätuotteen suojaa. Tutkimuksen tuloksena se oli ehdottomasti 10 yleisimmin käytettyä JavaScript- ja Java-pakettia, joiden turvallisuus ja ylläpidettävyys vaativat erityistä huomiota.

JavaScript-kirjastot npm-varastosta:

  • async (196 tuhatta koodiriviä, 11 kirjoittajaa, 7 sitoutunutta, 11 avointa numeroa);
  • perii (3.8 tuhatta koodiriviä, 3 kirjoittajaa, 1 sitoutuja, 3 ratkaisematonta ongelmaa);
  • isarray (317 koodiriviä, 3 kirjoittajaa, 3 sitoutunutta, 4 avointa numeroa);
  • eräänlainen (2 tuhat riviä koodia, 11 kirjoittajaa, 11 sitoutunutta, 3 ratkaisematonta ongelmaa);
  • lodash (42 tuhatta koodiriviä, 28 kirjoittajaa, 2 sitoutunutta, 30 avointa numeroa);
  • ministi (1.2 tuhatta koodiriviä, 14 kirjoittajaa, 6 sitoutunutta, 38 avointa numeroa);
  • alkuasukkaat (3 tuhatta koodiriviä, 2 kirjoittajaa, 1 sitoutuja, ei avoimia kysymyksiä);
  • qs (5.4 tuhatta koodiriviä, 5 kirjoittajaa, 2 sitoutunutta, 41 avointa numeroa);
  • luettava virta (28 tuhatta koodiriviä, 10 kirjoittajaa, 3 sitoutunutta, 21 avointa numeroa);
  • merkkijono_dekooderi (4.2 tuhatta koodiriviä, 4 kirjoittajaa, 3 sitoutunutta, 2 avointa numeroa).

Java-kirjastot Maven-varastoista:

  • jackson-core (74 tuhatta koodiriviä, 7 kirjoittajaa, 6 sitoutunutta, 40 avointa numeroa);
  • jackson-databind (74 tuhatta koodiriviä, 23 kirjoittajaa, 2 sitoutunutta, 363 avointa numeroa);
  • guava.git, Google-kirjastot Javalle (1 miljoona koodiriviä, 83 kirjoittajaa, 3 sitoutunutta, 620 avointa numeroa);
  • commons-koodekki (51 tuhatta koodiriviä, 3 kirjoittajaa, 3 sitoutunutta, 29 avointa numeroa);
  • commons-io (73 tuhatta koodiriviä, 10 kirjoittajaa, 6 sitoutunutta, 148 avointa numeroa);
  • httpcomponents-client (121 tuhatta koodiriviä, 16 kirjoittajaa, 8 sitoutunutta, 47 avointa numeroa);
  • httpcomponents-core (131 tuhatta koodiriviä, 15 kirjoittajaa, 4 sitoutunutta, 7 avointa numeroa);
  • takaisin (154 tuhatta koodiriviä, 1 kirjoittaja, 2 sitoutunutta, 799 avointa numeroa);
  • commons-lang (168 tuhatta koodiriviä, 28 kirjoittajaa, 17 sitoutunutta, 163 avointa numeroa);
  • slf4j (38 tuhatta koodiriviä, 4 kirjoittajaa, 4 sitoutunutta, 189 avointa numeroa);

Raportissa käsitellään myös ulkoisten komponenttien nimeämisjärjestelmän standardointia, kehittäjätilien suojaamista ja vanhojen versioiden ylläpitoa suurten uusien julkaisujen jälkeen. Lisäksi julkaissut Linux Foundation asiakirja käytännön suosituksia turvallisen kehitysprosessin järjestämiseksi avoimen lähdekoodin projekteille.

Dokumentissa käsitellään roolien jakamista projektissa, turvallisuudesta vastaavien tiimien luomista, tietoturvakäytäntöjen määrittelyä, projektin osallistujien valtuuksien seurantaa, Gitin oikeaa käyttöä haavoittuvuuksien korjaamisessa vuotojen välttämiseksi ennen korjauksen julkaisua, raportteihin vastaamisen prosessien määrittelyä. turvallisuuteen liittyvistä ongelmista, turvatestausjärjestelmien toteuttamisesta, koodintarkistusmenettelyjen soveltamisesta, tietoturvaan liittyvien kriteerien huomioon ottaminen julkaisuja luotaessa.

Lähde: opennet.ru

Lisää kommentti