ProHoster > Blog > internetes hírek > Speciális biztonsági ellenőrzést igénylő könyvtárak minősítése

Speciális biztonsági ellenőrzést igénylő könyvtárak minősítése

A Linux Alapítvány által létrehozott alapítvány Alapvető infrastruktúra kezdeményezés, amelyben vezető vállalatok fogtak össze, hogy támogassák a nyílt forráskódú projekteket a számítástechnikai ipar kulcsfontosságú területein, költött második tanulmány a programon belül Népszámlálás, amelynek célja olyan nyílt forráskódú projektek azonosítása, amelyek kiemelt biztonsági ellenőrzést igényelnek.

A második tanulmány a különböző vállalati projektekben külső tárolókból letöltött függőségek formájában implicit módon használt megosztott nyílt forráskód elemzésére összpontosít. Az alkalmazások (ellátási lánc) működésében részt vevő harmadik féltől származó komponensek fejlesztőinek sebezhetősége és kompromittálása érvénytelenítheti a fő termék védelmének javítására irányuló erőfeszítéseket. A vizsgálat eredményeként az volt egyértelműen A 10 leggyakrabban használt JavaScript- és Java-csomag, amelyek biztonsága és karbantarthatósága különös figyelmet igényel.

JavaScript-könyvtárak az npm-tárból:

  • aszinkron (196 ezer sor kód, 11 szerző, 7 committer, 11 nyitott szám);
  • örököl (3.8 ezer sor kód, 3 szerző, 1 committer, 3 megoldatlan probléma);
  • isarray (317 sor kód, 3 szerző, 3 committer, 4 nyitott szám);
  • olyasmi (2 ezer sor kód, 11 szerző, 11 committer, 3 megoldatlan probléma);
  • páholy (42 ezer sor kód, 28 szerző, 2 committer, 30 nyitott szám);
  • minimalista (1.2 ezer sor kód, 14 szerző, 6 committer, 38 nyitott szám);
  • bennszülöttek (3 ezer soros kód, 2 szerző, 1 committer, nincs nyitott kérdés);
  • qs (5.4 ezer sor kód, 5 szerző, 2 committer, 41 nyitott szám);
  • olvasható-folyam (28 ezer sor kód, 10 szerző, 3 committer, 21 nyitott szám);
  • string_dekóder (4.2 ezer soros kód, 4 szerző, 3 committer, 2 nyitott szám).

Java-könyvtárak a Maven-tárolókból:

  • jackson-mag (74 ezer sor kód, 7 szerző, 6 committer, 40 nyitott szám);
  • jackson-databind (74 ezer sor kód, 23 szerző, 2 committer, 363 nyitott szám);
  • guava.git, Google-könyvtárak Java-hoz (1 millió sornyi kód, 83 szerző, 3 committer, 620 nyitott kérdés);
  • commons-kodek (51 ezer sor kód, 3 szerző, 3 committer, 29 nyitott szám);
  • commons-io (73 ezer sor kód, 10 szerző, 6 committer, 148 nyitott szám);
  • httpcomponents-client (121 ezer sor kód, 16 szerző, 8 committer, 47 nyitott szám);
  • httpcomponents-core (131 ezer sor kód, 15 szerző, 4 committer, 7 nyitott szám);
  • logback (154 ezer sor kód, 1 szerző, 2 committer, 799 nyitott szám);
  • commons-lang (168 ezer sor kód, 28 szerző, 17 committer, 163 nyitott szám);
  • slf4j (38 ezer sor kód, 4 szerző, 4 committer, 189 nyitott szám);

A jelentés foglalkozik a külső összetevők elnevezési sémájának szabványosításával, a fejlesztői fiókok védelmével és a régebbi verziók karbantartásával kapcsolatos kérdésekkel is a nagyobb új kiadások után. Ezenkívül a Linux Foundation adta ki a dokumentumot gyakorlati ajánlásokkal a nyílt forráskódú projektek biztonságos fejlesztési folyamatának megszervezéséhez.

A dokumentum foglalkozik a projektben betöltött szerepek elosztásával, a biztonságért felelős csapatok létrehozásával, a biztonsági szabályzatok meghatározásával, a projekt résztvevőinek jogosítványainak figyelemmel kísérésével, a Git helyes használatával a sebezhetőségek kijavításakor a szivárgások elkerülése érdekében a javítás közzététele előtt, valamint a jelentésekre válaszolási folyamatok meghatározásával. biztonsági problémák megoldása, biztonsági tesztelési rendszerek bevezetése, kódellenőrzési eljárások alkalmazása, a biztonsággal kapcsolatos kritériumok figyelembevétele a kiadások létrehozásakor.

Forrás: opennet.ru

Hozzászólás