Անվտանգության հատուկ ստուգումներ պահանջող գրադարանների վարկանիշի երրորդ հրատարակությունը

Կազմակերպություն Linux Հիմնադրամը, Հարվարդի գիտական ​​նորարարությունների լաբորատորիայի հետ համագործակցությամբ, պատրաստել է Census III ուսումնասիրության նոր հրատարակություն, որի նպատակն է բացահայտել ամենատարածված բաց կոդով նախագծերը, որոնք պահանջում են առաջնահերթ անվտանգության աուդիտներ: Ուսումնասիրությունը վերլուծել է տարբեր կորպորատիվ նախագծերում անուղղակիորեն օգտագործվող համատեղ բաց կոդը՝ որպես արտաքին պահոցներից ներբեռնված կախվածություններ: Ընդհանուր առմամբ, վերլուծվել են ավելի քան 12 միլիոն բաց կոդով գրադարաններ, որոնք օգտագործվում են 10 տարբեր ընկերությունների կողմից օգտագործվող ծրագրերում:

Հավաքված վիճակագրության հիման վրա կազմվել են 500 ամենահաճախ օգտագործվող գրադարանների ցանկեր, որոնց անվտանգությունն ու պահպանման որակը պահանջում են հատուկ ուշադրություն, քանի որ խոցելիությունները և երրորդ կողմի կախվածությունների մշակողների կողմից դրանց վտանգի ենթարկվելը կարող են չեզոքացնել հիմնական արտադրանքի պաշտպանության բարելավման բոլոր ջանքերը: Առաջարկվել է ընդհանուր առմամբ 8 ցանկ, որոնց բովանդակությունը դասակարգվել է տարբեր չափանիշներով, ինչպիսիք են NPM պահոցներին մատակարարումը և կախվածությունները որոշելիս տարբերակի տեղեկատվության առկայությունը:

Որոշ եզրակացություններ.

  • NPM պահեստում չներկայացված լավագույն 17 նախագծերի 50%-ն ունի միայն մեկ մշակող, իսկ 40%-ը՝ մեկ կամ երկու մշակող, որոնք կատարել են պարտավորությունների 80%-ը:
  • Նախորդ՝ 2022 թվականի զեկույցի համեմատ, կարևոր փաթեթների շարքում ավելացել է ամպային ծառայությունների հետ փոխգործակցության համար փաթեթների օգտագործումը։
  • Շարունակվում է նախագծերի տեղափոխումը Python 2-ից Python 3:
  • Maven փաթեթները շարունակում են հանրաճանաչ մնալ, և PIP (Python), Cargo (Rust) և NuGet (.NET) պահեստներից փաթեթների օգտագործումը գնալով աճում է:
  • Ինչպես նախկինում, անհրաժեշտություն կա օգտագործել ծրագրային բաղադրիչների անվանման ստանդարտացված սխեմաներ:
  • Ավելացել է ծրագրավորողների հաշիվների պաշտպանության կարևորությունը։ Ամենահայտնի փաթեթներից շատերը տեղակայված են կոնկրետ մշակողների հաշիվների տակ, որոնք ավելի քիչ ապահով են, քան նախագծի համար ստեղծված կազմակերպությունների հաշիվները:
  • NPM պահոցից առավել հաճախ օգտագործվող 20 JavaScript փաթեթները, որոնք ներբեռնվում են հավելվածների կողմից՝ առանց տարբերակի հետ կապված.
    
Անվտանգության հատուկ ստուգումներ պահանջող գրադարանների վարկանիշի երրորդ հրատարակությունը
  • Ոչ NPM պահոցների 20 ամենատարածված փաթեթները, որոնք ներբեռնվում են հավելվածների կողմից՝ առանց որևէ տարբերակի կապվելու.
    
Անվտանգության հատուկ ստուգումներ պահանջող գրադարանների վարկանիշի երրորդ հրատարակությունը

Source: opennet.ru

Գնեք հուսալի հոստինգ DDoS պաշտպանությամբ կայքերի, VPS VDS սերվերների համար 🔥 Գնեք հուսալի կայքերի հոսթինգ՝ DDoS պաշտպանությամբ, VPS VDS սերվերներով | ProHoster