Pemeringkatan perpustakaan memerlukan pemeriksaan keamanan khusus
Yayasan yang dibentuk oleh Linux Foundation Prakarsa Infrastruktur Inti, di mana perusahaan-perusahaan terkemuka bergabung untuk mendukung proyek-proyek sumber terbuka di bidang-bidang utama industri komputer, dihabiskan studi kedua dalam program ini Sensus, bertujuan untuk mengidentifikasi proyek sumber terbuka yang memerlukan audit keamanan prioritas.
Studi kedua berfokus pada analisis kode sumber terbuka bersama yang secara implisit digunakan dalam berbagai proyek perusahaan dalam bentuk dependensi yang diunduh dari repositori eksternal. Kerentanan dan kompromi pengembang komponen pihak ketiga yang terlibat dalam pengoperasian aplikasi (rantai pasokan) dapat meniadakan segala upaya untuk meningkatkan perlindungan produk utama. Sebagai hasil dari penelitian itu tentu saja 10 paket yang paling umum digunakan dalam JavaScript dan Java, yang keamanan dan pemeliharaannya memerlukan perhatian khusus.
Laporan ini juga membahas masalah standarisasi skema penamaan komponen eksternal, melindungi akun pengembang, dan mempertahankan versi lama setelah rilis besar baru dibuat. Selain itu diterbitkan oleh Linux Foundation dokumen dengan rekomendasi praktis untuk mengatur proses pengembangan yang aman untuk proyek sumber terbuka.
Dokumen tersebut membahas masalah distribusi peran dalam proyek, pembentukan tim yang bertanggung jawab atas keamanan, penentuan kebijakan keamanan, pemantauan kekuatan yang dimiliki peserta proyek, penggunaan Git dengan benar saat memperbaiki kerentanan untuk menghindari kebocoran sebelum publikasi perbaikan, dan penentuan proses untuk merespons laporan. masalah keamanan, penerapan sistem pengujian keamanan, penerapan prosedur peninjauan kode, dengan mempertimbangkan kriteria terkait keamanan saat membuat rilis.