Կազմակերպություն Linux Հիմնադրամը, Հարվարդի գիտական նորարարությունների լաբորատորիայի հետ համագործակցությամբ, պատրաստել է Census III ուսումնասիրության նոր հրատարակություն, որի նպատակն է բացահայտել ամենատարածված բաց կոդով նախագծերը, որոնք պահանջում են առաջնահերթ անվտանգության աուդիտներ: Ուսումնասիրությունը վերլուծել է տարբեր կորպորատիվ նախագծերում անուղղակիորեն օգտագործվող համատեղ բաց կոդը՝ որպես արտաքին պահոցներից ներբեռնված կախվածություններ: Ընդհանուր առմամբ, վերլուծվել են ավելի քան 12 միլիոն բաց կոդով գրադարաններ, որոնք օգտագործվում են 10 տարբեր ընկերությունների կողմից օգտագործվող ծրագրերում:
Հավաքված վիճակագրության հիման վրա կազմվել են 500 ամենահաճախ օգտագործվող գրադարանների ցանկեր, որոնց անվտանգությունն ու պահպանման որակը պահանջում են հատուկ ուշադրություն, քանի որ խոցելիությունները և երրորդ կողմի կախվածությունների մշակողների կողմից դրանց վտանգի ենթարկվելը կարող են չեզոքացնել հիմնական արտադրանքի պաշտպանության բարելավման բոլոր ջանքերը: Առաջարկվել է ընդհանուր առմամբ 8 ցանկ, որոնց բովանդակությունը դասակարգվել է տարբեր չափանիշներով, ինչպիսիք են NPM պահոցներին մատակարարումը և կախվածությունները որոշելիս տարբերակի տեղեկատվության առկայությունը:
Որոշ եզրակացություններ.
- NPM պահեստում չներկայացված լավագույն 17 նախագծերի 50%-ն ունի միայն մեկ մշակող, իսկ 40%-ը՝ մեկ կամ երկու մշակող, որոնք կատարել են պարտավորությունների 80%-ը:
- Նախորդ՝ 2022 թվականի զեկույցի համեմատ, կարևոր փաթեթների շարքում ավելացել է ամպային ծառայությունների հետ փոխգործակցության համար փաթեթների օգտագործումը։
- Շարունակվում է նախագծերի տեղափոխումը Python 2-ից Python 3:
- Maven փաթեթները շարունակում են հանրաճանաչ մնալ, և PIP (Python), Cargo (Rust) և NuGet (.NET) պահեստներից փաթեթների օգտագործումը գնալով աճում է:
- Ինչպես նախկինում, անհրաժեշտություն կա օգտագործել ծրագրային բաղադրիչների անվանման ստանդարտացված սխեմաներ:
- Ավելացել է ծրագրավորողների հաշիվների պաշտպանության կարևորությունը։ Ամենահայտնի փաթեթներից շատերը տեղակայված են կոնկրետ մշակողների հաշիվների տակ, որոնք ավելի քիչ ապահով են, քան նախագծի համար ստեղծված կազմակերպությունների հաշիվները:
- NPM պահոցից առավել հաճախ օգտագործվող 20 JavaScript փաթեթները, որոնք ներբեռնվում են հավելվածների կողմից՝ առանց տարբերակի հետ կապված.

- Ոչ NPM պահոցների 20 ամենատարածված փաթեթները, որոնք ներբեռնվում են հավելվածների կողմից՝ առանց որևէ տարբերակի կապվելու.

Source: opennet.ru
