Հատուկ անվտանգության ստուգումներ պահանջող գրադարանների վարկանիշը

Հիմնադրամ, որը ձևավորվել է Linux հիմնադրամի կողմից Հիմնական ենթակառուցվածքի նախաձեռնություն, որի ընթացքում առաջատար կորպորացիաները միավորեցին ուժերը համակարգչային արդյունաբերության առանցքային ոլորտներում բաց կոդով նախագծերին աջակցելու համար, ծախսած երկրորդ ուսումնասիրությունը ծրագրի շրջանակներում Մարդահամար, որի նպատակն է բացահայտել բաց կոդով նախագծերը, որոնք առաջնահերթ անվտանգության աուդիտի կարիք ունեն:

Երկրորդ ուսումնասիրությունը կենտրոնանում է ընդհանուր բաց կոդով կոդի վերլուծության վրա, որն անուղղակիորեն օգտագործվում է տարբեր ձեռնարկությունների նախագծերում՝ արտաքին պահոցներից ներբեռնված կախվածությունների տեսքով: Հավելվածների շահագործման մեջ ներգրավված երրորդ կողմի բաղադրիչների մշակողների խոցելիությունը և փոխզիջումը (մատակարարման շղթա) կարող են ժխտել հիմնական արտադրանքի պաշտպանությունը բարելավելու բոլոր ջանքերը: Ուսումնասիրության արդյունքում եղել է հաստատ JavaScript-ում և Java-ում առավել հաճախ օգտագործվող 10 փաթեթները, որոնց անվտանգությունն ու սպասարկումը հատուկ ուշադրություն են պահանջում:

JavaScript գրադարաններ npm պահոցից.

• ասինկ (196 հազար տող կոդ, 11 հեղինակ, 7 կոմիտեր, 11 բաց թողարկում);
• ժառանգում է (3.8 հազար տող կոդ, 3 հեղինակ, 1 կոմիտեր, 3 չլուծված խնդիր);
• մի շարք (317 տող կոդ, 3 հեղինակ, 3 կոմիտեր, 4 բաց թողարկում);
• տեսակ (2 հազար տող կոդ, 11 հեղինակ, 11 կոմիտեր, 3 չլուծված խնդիր);
• լոդաշ (42 հազար տող կոդ, 28 հեղինակ, 2 կոմիտեր, 30 բաց թողարկում);
• մինիմալիստ (1.2 հազար տող կոդ, 14 հեղինակ, 6 կոմիտեր, 38 բաց թողարկում);
• բնիկները (3 հազար տող կոդ, 2 հեղինակ, 1 կոմիտեր, բաց հարցեր չկան);
• qs (5.4 հազար տող կոդ, 5 հեղինակ, 2 կոմիտեր, 41 բաց թողարկում);
• ընթեռնելի-հոսք (28 հազար տող կոդ, 10 հեղինակ, 3 կոմիտեր, 21 բաց թողարկում);
• string_decoder (4.2 հազար տող կոդ, 4 հեղինակ, 3 կոմիտեր, 2 բաց թողարկում):

Java գրադարաններ Maven պահեստներից.

• jackson-core (74 հազար տող կոդ, 7 հեղինակ, 6 կոմիտեր, 40 բաց թողարկում);
• jackson-databind (74 հազար տող կոդ, 23 հեղինակ, 2 կոմիտեր, 363 բաց թողարկում);
• guava.git, Google գրադարաններ Java-ի համար (1 միլիոն տող կոդ, 83 հեղինակ, 3 կոմիտեր, 620 բաց թողարկում);
• Commons-codec (51 հազար տող կոդ, 3 հեղինակ, 3 կոմիտեր, 29 բաց թողարկում);
• commons-io (73 հազար տող կոդ, 10 հեղինակ, 6 կոմիտեր, 148 բաց թողարկում);
• httpcomponents-client (121 հազար տող կոդ, 16 հեղինակ, 8 կոմիտեր, 47 բաց թողարկում);
• httpcomponents-core (131 հազար տող կոդ, 15 հեղինակ, 4 կոմիտեր, 7 բաց թողարկում);
• հետգնում (154 հազար տող կոդ, 1 հեղինակ, 2 կոմիտեր, 799 բաց թողարկում);
• ընդհանուր լեզու (168 հազար տող կոդ, 28 հեղինակ, 17 կոմիտեր, 163 բաց թողարկում);
• slf4j (38 հազար տող կոդ, 4 հեղինակ, 4 կոմիտեր, 189 բաց թողարկում);

Զեկույցը նաև անդրադառնում է արտաքին բաղադրիչների անվանման սխեմայի ստանդարտացման, ծրագրավորողների հաշիվների պաշտպանության և հիմնական նոր թողարկումներից հետո հին տարբերակների պահպանման հարցերին: Բացի այդ, հրապարակվել է Linux հիմնադրամի կողմից փաստաթուղթը բաց կոդով նախագծերի անվտանգ զարգացման գործընթաց կազմակերպելու գործնական առաջարկություններով:

Փաստաթուղթն անդրադառնում է նախագծում դերերի բաշխման, անվտանգության համար պատասխանատու թիմերի ստեղծման, անվտանգության քաղաքականության սահմանման, ծրագրի մասնակիցների իրավասությունների մոնիտորինգի, խոցելիությունը շտկելիս Git-ի ճիշտ օգտագործման, շտկումը հրապարակելուց առաջ արտահոսքից խուսափելու համար, հաշվետվություններին արձագանքելու գործընթացների սահմանման հարցերին: անվտանգության հետ կապված խնդիրների, անվտանգության թեստավորման համակարգերի ներդրում, կոդերի վերանայման ընթացակարգերի կիրառում, թողարկումներ ստեղծելիս հաշվի առնելով անվտանգության հետ կապված չափանիշները:

Source: opennet.ru