Հատուկ անվտանգության ստուգումներ պահանջող գրադարանների վարկանիշը
Հիմնադրամ, որը ձևավորվել է Linux հիմնադրամի կողմից Հիմնական ենթակառուցվածքի նախաձեռնություն, որի ընթացքում առաջատար կորպորացիաները միավորեցին ուժերը համակարգչային արդյունաբերության առանցքային ոլորտներում բաց կոդով նախագծերին աջակցելու համար, ծախսած երկրորդ ուսումնասիրությունը ծրագրի շրջանակներում Մարդահամար, որի նպատակն է բացահայտել բաց կոդով նախագծերը, որոնք առաջնահերթ անվտանգության աուդիտի կարիք ունեն:
Երկրորդ ուսումնասիրությունը կենտրոնանում է ընդհանուր բաց կոդով կոդի վերլուծության վրա, որն անուղղակիորեն օգտագործվում է տարբեր ձեռնարկությունների նախագծերում՝ արտաքին պահոցներից ներբեռնված կախվածությունների տեսքով: Հավելվածների շահագործման մեջ ներգրավված երրորդ կողմի բաղադրիչների մշակողների խոցելիությունը և փոխզիջումը (մատակարարման շղթա) կարող են ժխտել հիմնական արտադրանքի պաշտպանությունը բարելավելու բոլոր ջանքերը: Ուսումնասիրության արդյունքում եղել է հաստատ JavaScript-ում և Java-ում առավել հաճախ օգտագործվող 10 փաթեթները, որոնց անվտանգությունն ու սպասարկումը հատուկ ուշադրություն են պահանջում:
JavaScript գրադարաններ npm պահոցից.
ասինկ (196 հազար տող կոդ, 11 հեղինակ, 7 կոմիտեր, 11 բաց թողարկում);
ժառանգում է (3.8 հազար տող կոդ, 3 հեղինակ, 1 կոմիտեր, 3 չլուծված խնդիր);
մի շարք (317 տող կոդ, 3 հեղինակ, 3 կոմիտեր, 4 բաց թողարկում);
տեսակ (2 հազար տող կոդ, 11 հեղինակ, 11 կոմիտեր, 3 չլուծված խնդիր);
լոդաշ (42 հազար տող կոդ, 28 հեղինակ, 2 կոմիտեր, 30 բաց թողարկում);
մինիմալիստ (1.2 հազար տող կոդ, 14 հեղինակ, 6 կոմիտեր, 38 բաց թողարկում);
բնիկները (3 հազար տող կոդ, 2 հեղինակ, 1 կոմիտեր, բաց հարցեր չկան);
qs (5.4 հազար տող կոդ, 5 հեղինակ, 2 կոմիտեր, 41 բաց թողարկում);
ընթեռնելի-հոսք (28 հազար տող կոդ, 10 հեղինակ, 3 կոմիտեր, 21 բաց թողարկում);
string_decoder (4.2 հազար տող կոդ, 4 հեղինակ, 3 կոմիտեր, 2 բաց թողարկում):
Java գրադարաններ Maven պահեստներից.
jackson-core (74 հազար տող կոդ, 7 հեղինակ, 6 կոմիտեր, 40 բաց թողարկում);
jackson-databind (74 հազար տող կոդ, 23 հեղինակ, 2 կոմիտեր, 363 բաց թողարկում);
guava.git, Google գրադարաններ Java-ի համար (1 միլիոն տող կոդ, 83 հեղինակ, 3 կոմիտեր, 620 բաց թողարկում);
Commons-codec (51 հազար տող կոդ, 3 հեղինակ, 3 կոմիտեր, 29 բաց թողարկում);
commons-io (73 հազար տող կոդ, 10 հեղինակ, 6 կոմիտեր, 148 բաց թողարկում);
httpcomponents-core (131 հազար տող կոդ, 15 հեղինակ, 4 կոմիտեր, 7 բաց թողարկում);
հետգնում (154 հազար տող կոդ, 1 հեղինակ, 2 կոմիտեր, 799 բաց թողարկում);
ընդհանուր լեզու (168 հազար տող կոդ, 28 հեղինակ, 17 կոմիտեր, 163 բաց թողարկում);
slf4j (38 հազար տող կոդ, 4 հեղինակ, 4 կոմիտեր, 189 բաց թողարկում);
Զեկույցը նաև անդրադառնում է արտաքին բաղադրիչների անվանման սխեմայի ստանդարտացման, ծրագրավորողների հաշիվների պաշտպանության և հիմնական նոր թողարկումներից հետո հին տարբերակների պահպանման հարցերին: Բացի այդ, հրապարակվել է Linux հիմնադրամի կողմից փաստաթուղթը բաց կոդով նախագծերի անվտանգ զարգացման գործընթաց կազմակերպելու գործնական առաջարկություններով:
Փաստաթուղթն անդրադառնում է նախագծում դերերի բաշխման, անվտանգության համար պատասխանատու թիմերի ստեղծման, անվտանգության քաղաքականության սահմանման, ծրագրի մասնակիցների իրավասությունների մոնիտորինգի, խոցելիությունը շտկելիս Git-ի ճիշտ օգտագործման, շտկումը հրապարակելուց առաջ արտահոսքից խուսափելու համար, հաշվետվություններին արձագանքելու գործընթացների սահմանման հարցերին: անվտանգության հետ կապված խնդիրների, անվտանգության թեստավորման համակարգերի ներդրում, կոդերի վերանայման ընթացակարգերի կիրառում, թողարկումներ ստեղծելիս հաշվի առնելով անվտանգության հետ կապված չափանիշները: