ProHoster > Blog > nouvèl sou entènèt > Evalyasyon bibliyotèk ki mande chèk sekirite espesyal

Evalyasyon bibliyotèk ki mande chèk sekirite espesyal

Fondasyon ki te fòme pa Linux Foundation Inisyativ Enfrastrikti Nwayo, nan ki dirijan kòporasyon yo mete tèt yo ansanm pou sipòte pwojè sous louvri nan domèn kle nan endistri òdinatè a, depanse dezyèm etid nan pwogram nan resansman, ki vize pou idantifye pwojè sous louvri ki bezwen odit sekirite priyorite.

Dezyèm etid la konsantre sou analiz kòd sous ouvè pataje yo itilize nan plizyè pwojè antrepriz sou fòm depandans telechaje soti nan depo ekstèn. Vilnerabilite ak konpwomi nan devlopè nan eleman twazyèm pati ki enplike nan operasyon an nan aplikasyon pou (chèn ekipman) ka anile tout efò yo amelyore pwoteksyon an nan pwodwi prensipal la. Kòm yon rezilta nan etid la li te defini 10 pakè ki pi souvan itilize nan JavaScript ak Java, sekirite ak antretyen ki mande atansyon espesyal.

Bibliyotèk JavaScript soti nan depo npm:

  • async (196 mil liy kòd, 11 otè, 7 komite, 11 pwoblèm ouvè);
  • eritye (3.8 mil liy kòd, 3 otè, 1 komite, 3 pwoblèm ki pa rezoud);
  • isarray (317 liy kòd, 3 otè, 3 komite, 4 pwoblèm ouvè);
  • kalite (2 mil liy kòd, 11 otè, 11 komite, 3 pwoblèm ki pako rezoud);
  • lodash (42 mil liy kòd, 28 otè, 2 komite, 30 pwoblèm ouvè);
  • minimis (1.2 mil liy kòd, 14 otè, 6 komite, 38 pwoblèm ouvè);
  • natif natal (3 mil liy kòd, 2 otè, 1 committer, pa gen pwoblèm ouvè);
  • qs (5.4 mil liy kòd, 5 otè, 2 komite, 41 pwoblèm ouvè);
  • lizib-kouran (28 mil liy kòd, 10 otè, 3 komite, 21 pwoblèm ouvè);
  • string_decoder (4.2 mil liy kòd, 4 otè, 3 komite, 2 pwoblèm ouvè).

Bibliyotèk Java ki soti nan depo Maven:

  • jackson-nwayo (74 mil liy kòd, 7 otè, 6 komite, 40 pwoblèm ouvè);
  • jackson-databind (74 mil liy kòd, 23 otè, 2 komite, 363 pwoblèm ouvè);
  • guava.git, Bibliyotèk Google pou Java (1 milyon liy kòd, 83 otè, 3 komite, 620 pwoblèm ouvè);
  • komen-kodèk (51 mil liy kòd, 3 otè, 3 komite, 29 pwoblèm ouvè);
  • komen-io (73 mil liy kòd, 10 otè, 6 komite, 148 pwoblèm ouvè);
  • httpcomponents-client (121 mil liy kòd, 16 otè, 8 komite, 47 pwoblèm ouvè);
  • httpcomponents-core (131 mil liy kòd, 15 otè, 4 komite, 7 pwoblèm ouvè);
  • konekte (154 mil liy kòd, 1 otè, 2 komite, 799 pwoblèm ouvè);
  • komen-lang (168 mil liy kòd, 28 otè, 17 komite, 163 pwoblèm ouvè);
  • slf4j (38 mil liy kòd, 4 otè, 4 komite, 189 pwoblèm ouvè);

Rapò a tou adrese pwoblèm nan estandadize konplo a nonmen nan eleman ekstèn, pwoteje kont pwomotè, ak kenbe vèsyon eritaj apre gwo nouvo degaje yo te fè. Anplis de sa pibliye pa Linux Foundation dokiman an ak rekòmandasyon pratik pou òganize yon pwosesis devlopman an sekirite pou pwojè sous louvri.

Dokiman an adrese pwoblèm yo nan distribye wòl nan pwojè a, kreye ekip responsab pou sekirite, defini politik sekirite, kontwole pouvwa yo ke patisipan pwojè yo genyen, kòrèkteman itilize Git lè ranje vilnerabilite pou evite fwit anvan pibliye ranje a, defini pwosesis pou reponn a rapò. nan pwoblèm ak sekirite, aplikasyon nan sistèm tès sekirite, aplikasyon nan pwosedi revizyon kòd, pran an kont kritè ki gen rapò ak sekirite lè yo kreye degaje.

Sous: opennet.ru

Add nouvo kòmantè