ProHoster > Blog > internetske vijesti > Ocjena knjižnica koje zahtijevaju posebne sigurnosne provjere

Ocjena knjižnica koje zahtijevaju posebne sigurnosne provjere

Zaklada koju je osnovala Linux Foundation Inicijativa temeljne infrastrukture, u kojem su vodeće korporacije udružile snage kako bi podržale projekte otvorenog koda u ključnim područjima računalne industrije, potrošeno drugi studij u okviru programa popis, s ciljem identificiranja projekata otvorenog koda koji trebaju prioritetne sigurnosne revizije.

Druga studija fokusirana je na analizu zajedničkog otvorenog koda koji se implicitno koristi u raznim poslovnim projektima u obliku ovisnosti preuzetih iz vanjskih repozitorija. Ranjivosti i ugroženost programera komponenti trećih strana uključenih u rad aplikacija (lanac nabave) mogu poništiti sve napore da se poboljša zaštita glavnog proizvoda. Kao rezultat studije bilo je odlučan 10 najčešće korištenih paketa u JavaScriptu i Javi, čija sigurnost i mogućnost održavanja zahtijevaju posebnu pozornost.

JavaScript biblioteke iz npm repozitorija:

  • async (196 tisuća redaka koda, 11 autora, 7 komitatora, 11 otvorenih pitanja);
  • nasljeđuje (3.8 tisuća redaka koda, 3 autora, 1 komit, 3 neriješena problema);
  • isarray (317 redaka koda, 3 autora, 3 naručitelja, 4 otvorena pitanja);
  • vrsta (2 tisuće redaka koda, 11 autora, 11 komitatora, 3 neriješena problema);
  • lodaš (42 tisuće redaka koda, 28 autora, 2 komitera, 30 otvorenih pitanja);
  • minimalistički (1.2 tisuće redaka koda, 14 autora, 6 komitatora, 38 otvorenih pitanja);
  • starosjedioci (3 tisuće redaka koda, 2 autora, 1 komit, nema otvorenih pitanja);
  • qs (5.4 tisuće redaka koda, 5 autora, 2 komitera, 41 otvorena pitanja);
  • čitljiv-tok (28 tisuće redaka koda, 10 autora, 3 komitera, 21 otvorena pitanja);
  • dekoder_niza (4.2 tisuće redaka koda, 4 autora, 3 komitera, 2 otvorena pitanja).

Java biblioteke iz Mavenovih repozitorija:

  • jackson-core (74 tisuće redaka koda, 7 autora, 6 komitatora, 40 otvorenih pitanja);
  • jackson-databind (74 tisuće redaka koda, 23 autora, 2 komitatora, 363 otvorenih pitanja);
  • guava.git, Google knjižnice za Javu (1 milijun linija koda, 83 autora, 3 komitera, 620 otvorenih pitanja);
  • zajednički kodek (51 tisuća redaka koda, 3 autora, 3 komitera, 29 otvorenih pitanja);
  • zajednički-io (73 tisuće redaka koda, 10 autora, 6 komitatora, 148 otvorenih pitanja);
  • httpcomponents-klijent (121 tisuća redaka koda, 16 autora, 8 komitatora, 47 otvorenih pitanja);
  • httpcomponents-core (131 tisuća redaka koda, 15 autora, 4 komitera, 7 otvorenih pitanja);
  • povratna prijava (154 tisuće linija koda, 1 autor, 2 komitera, 799 otvorenih pitanja);
  • zajednički jezik (168 tisuća linija koda, 28 autora, 17 komitatora, 163 otvorena pitanja);
  • slf4j (38 tisuća linija koda, 4 autora, 4 komitera, 189 otvorenih pitanja);

Izvješće se također bavi problemima standardizacije sheme imenovanja vanjskih komponenti, zaštite računa razvojnih programera i održavanja naslijeđenih verzija nakon velikih novih izdanja. Dodatno objavio Linux Foundation dokument s praktičnim preporukama za organiziranje sigurnog procesa razvoja za projekte otvorenog koda.

Dokument se bavi pitanjima distribucije uloga u projektu, stvaranjem timova odgovornih za sigurnost, definiranjem sigurnosnih politika, praćenjem ovlasti koje imaju sudionici projekta, ispravnim korištenjem Gita prilikom popravljanja ranjivosti kako bi se izbjeglo curenje prije objavljivanja popravka, definiranjem procesa za odgovaranje na izvješća problema sa sigurnošću, implementacija sustava za sigurnosno testiranje, primjena procedura pregleda koda, uzimanje u obzir sigurnosnih kriterija pri izradi izdanja.

Izvor: opennet.ru

Dodajte komentar