Fundación formada pola Linux Foundation , na que as principais corporacións uniron forzas para apoiar proxectos de código aberto en áreas clave da industria informática, segundo estudo dentro do programa , destinado a identificar proxectos de código aberto que precisan de auditorías de seguridade prioritarias.
O segundo estudo céntrase na análise do código de fonte aberto compartido usado implicitamente en varios proxectos empresariais en forma de dependencias descargadas de repositorios externos. Vulnerabilidades e compromiso dos desenvolvedores de compoñentes de terceiros implicados no funcionamento das aplicacións (cadea de subministración) poden anular todos os esforzos para mellorar a protección do produto principal. Como resultado do estudo foi Os 10 paquetes máis utilizados en JavaScript e Java, cuxa seguridade e mantemento requiren especial atención.
Bibliotecas JavaScript do repositorio npm:
- (196 mil liñas de código, 11 autores, 7 committers, 11 números abertos);
- (3.8 mil liñas de código, 3 autores, 1 committer, 3 problemas sen resolver);
- (317 liñas de código, 3 autores, 3 committers, 4 números abertos);
- (2 mil liñas de código, 11 autores, 11 committers, 3 problemas sen resolver);
- (42 mil liñas de código, 28 autores, 2 committers, 30 números abertos);
- (1.2 mil liñas de código, 14 autores, 6 committers, 38 números abertos);
- (3 mil liñas de código, 2 autores, 1 committer, sen problemas abertos);
- (5.4 mil liñas de código, 5 autores, 2 committers, 41 números abertos);
- (28 mil liñas de código, 10 autores, 3 committers, 21 números abertos);
- (4.2 mil liñas de código, 4 autores, 3 committers, 2 números abertos).
Bibliotecas Java dos repositorios Maven:
- (74 mil liñas de código, 7 autores, 6 committers, 40 números abertos);
- (74 mil liñas de código, 23 autores, 2 committers, 363 números abertos);
- , bibliotecas de Google para Java (1 millón de liñas de código, 83 autores, 3 committers, 620 números abertos);
- (51 mil liñas de código, 3 autores, 3 committers, 29 números abertos);
- (73 mil liñas de código, 10 autores, 6 committers, 148 números abertos);
- (121 mil liñas de código, 16 autores, 8 committers, 47 números abertos);
- (131 mil liñas de código, 15 autores, 4 committers, 7 números abertos);
- (154 mil liñas de código, 1 autor, 2 committers, 799 números abertos);
- (168 mil liñas de código, 28 autores, 17 committers, 163 números abertos);
- (38 mil liñas de código, 4 autores, 4 committers, 189 números abertos);
O informe tamén aborda cuestións relacionadas coa estandarización do esquema de nomenclatura dos compoñentes externos, a protección das contas de desenvolvedores e o mantemento das versións antigas despois de que se fagan novos lanzamentos importantes. Ademais publicado pola Fundación Linux con recomendacións prácticas para organizar un proceso de desenvolvemento seguro para proxectos de código aberto.
O documento aborda os temas de distribución de roles no proxecto, creación de equipos responsables da seguridade, definición de políticas de seguridade, seguimento dos poderes que teñen os participantes do proxecto, uso correcto de Git á hora de corrixir vulnerabilidades para evitar filtracións antes de publicar a corrección, definición de procesos para responder aos informes. de problemas de seguridade, implantación de sistemas de proba de seguridade, aplicación de procedementos de revisión de código, tendo en conta criterios relacionados coa seguridade á hora de crear versións.
Fonte: opennet.ru