Stifting foarme troch de Linux Foundation , wêryn liedende korporaasjes har krêften gearfoege om iepen boarneprojekten te stypjen yn wichtige gebieten fan 'e kompjûtersektor, twadde stúdzje binnen it programma , rjochte op it identifisearjen fan iepen boarne-projekten dy't prioriteitskontrôles nedich binne.
De twadde stúdzje rjochtet him op 'e analyze fan dielde iepen boarne koade dy't ymplisyt brûkt wurdt yn ferskate ûndernimmingsprojekten yn' e foarm fan ôfhinklikens ynladen fan eksterne repositories. Kwetsberheden en kompromis fan ûntwikkelders fan komponinten fan tredden belutsen by de eksploitaasje fan applikaasjes (supply chain) kinne alle ynspanningen negearje om de beskerming fan it haadprodukt te ferbetterjen. As gefolch fan 'e stúdzje wie it De 10 meast brûkte pakketten yn JavaScript en Java, wêrfan de feiligens en ûnderhâldberens spesjaal omtinken freegje.
JavaScript-biblioteken fan npm-repository:
- (196 tûzen rigels koade, 11 auteurs, 7 committers, 11 iepen problemen);
- (3.8 tûzen rigels koade, 3 skriuwers, 1 committer, 3 ûnoploste problemen);
- (317 rigels koade, 3 skriuwers, 3 committers, 4 iepen problemen);
- (2 tûzen rigels koade, 11 auteurs, 11 committers, 3 ûnoploste problemen);
- (42 tûzen rigels koade, 28 auteurs, 2 committers, 30 iepen problemen);
- (1.2 tûzen rigels koade, 14 auteurs, 6 committers, 38 iepen problemen);
- (3 tûzen rigels koade, 2 auteurs, 1 committer, gjin iepen problemen);
- (5.4 tûzen rigels koade, 5 auteurs, 2 committers, 41 iepen problemen);
- (28 tûzen rigels koade, 10 auteurs, 3 committers, 21 iepen problemen);
- (4.2 tûzen rigels koade, 4 auteurs, 3 committers, 2 iepen problemen).
Java-biblioteken fan Maven-repositories:
- (74 tûzen rigels koade, 7 auteurs, 6 committers, 40 iepen problemen);
- (74 tûzen rigels koade, 23 auteurs, 2 committers, 363 iepen problemen);
- , Google biblioteken foar Java (1 miljoen rigels koade, 83 auteurs, 3 committers, 620 iepen problemen);
- (51 tûzen rigels koade, 3 skriuwers, 3 committers, 29 iepen problemen);
- (73 tûzen rigels koade, 10 auteurs, 6 committers, 148 iepen problemen);
- (121 tûzen rigels koade, 16 auteurs, 8 committers, 47 iepen problemen);
- (131 tûzen rigels koade, 15 auteurs, 4 committers, 7 iepen problemen);
- (154 tûzen rigels koade, 1 auteur, 2 committers, 799 iepen problemen);
- (168 tûzen rigels koade, 28 auteurs, 17 committers, 163 iepen problemen);
- (38 tûzen rigels koade, 4 auteurs, 4 committers, 189 iepen problemen);
It rapport behannelet ek problemen fan standerdisearring fan it nammeskema fan eksterne komponinten, it beskermjen fan ûntwikkeldersakkounts en it behâld fan legacy ferzjes neidat grutte nije releases binne makke. Derneist publisearre troch de Linux Foundation mei praktyske oanbefellings foar it organisearjen fan in feilich ûntwikkelingsproses foar iepen boarne-projekten.
It dokumint behannelet de problemen fan it fersprieden fan rollen yn it projekt, it meitsjen fan teams dy't ferantwurdlik binne foar feiligens, it definiearjen fan befeiligingsbelied, it kontrolearjen fan de foegen dy't projektdielnimmers hawwe, it korrekt brûken fan Git by it reparearjen fan kwetsberens om lekken te foarkommen foar it publisearjen fan de fix, it definiearjen fan prosessen foar it reagearjen op rapporten fan problemen mei feiligens, ymplemintaasje fan systemen foar befeiligingstests, tapassing fan prosedueres foar koadebeoardieling, rekken hâldend mei befeiligingsrelatearre kritearia by it meitsjen fan releases.
Boarne: opennet.ru