ProHoster > Blog > netfréttir > Einkunnir bókasafna sem krefjast sérstakrar öryggisskoðunar

Einkunnir bókasafna sem krefjast sérstakrar öryggisskoðunar

Grunnur myndaður af Linux Foundation Frumkvæði um kjarnainnviði, þar sem leiðandi fyrirtæki tóku höndum saman til að styðja við opinn hugbúnað á lykilsviðum tölvuiðnaðarins, eytt annað nám innan námsins Manntal, sem miðar að því að bera kennsl á opinn uppspretta verkefni sem þurfa forgangsöryggisúttektir.

Önnur rannsóknin beinist að greiningu á sameiginlegum opnum frumkóða sem er óbeint notaður í ýmsum verkefnum fyrirtækja í formi ósjálfstæðis sem hlaðið er niður af ytri geymslum. Veikleikar og málamiðlun þróunaraðila íhluta þriðja aðila sem taka þátt í rekstri forrita (birgðakeðju) geta afneitað allar tilraunir til að bæta vernd aðalvörunnar. Sem afleiðing af rannsókninni var það örugglega 10 algengustu pakkarnir í JavaScript og Java, þar sem öryggi og viðhald þeirra krefjast sérstakrar athygli.

JavaScript bókasöfn frá npm geymslu:

  • async (196 þúsund línur af kóða, 11 höfundar, 7 committers, 11 opin tölublöð);
  • erfir (3.8 þúsund línur af kóða, 3 höfundar, 1 committer, 3 óleyst vandamál);
  • isarray (317 línur af kóða, 3 höfundar, 3 skuldbindingar, 4 opin tölublöð);
  • eiginlega (2 þúsund línur af kóða, 11 höfundar, 11 skuldbindingar, 3 óleyst vandamál);
  • lodash (42 þúsund línur af kóða, 28 höfundar, 2 committers, 30 opin tölublöð);
  • lágmarksmaður (1.2 þúsund línur af kóða, 14 höfundar, 6 skrifendur, 38 opin tölublöð);
  • innfæddir (3 þúsund línur af kóða, 2 höfundar, 1 committer, engin opin mál);
  • qs (5.4 þúsund línur af kóða, 5 höfundar, 2 committers, 41 opið hefti);
  • læsilegur-straumur (28 þúsund línur af kóða, 10 höfundar, 3 committers, 21 opið hefti);
  • string_decoder (4.2 þúsund línur af kóða, 4 höfundar, 3 committers, 2 opin tölublöð).

Java bókasöfn frá Maven geymslum:

  • jackson-kjarna (74 þúsund línur af kóða, 7 höfundar, 6 skrifendur, 40 opin tölublöð);
  • jackson-databind (74 þúsund línur af kóða, 23 höfundar, 2 skrifendur, 363 opin tölublöð);
  • guava.git, Google bókasöfn fyrir Java (1 milljón línur af kóða, 83 höfundar, 3 skuldbindingar, 620 opin mál);
  • commons-merkjamál (51 þúsund línur af kóða, 3 höfundar, 3 committers, 29 opin tölublöð);
  • commons-io (73 þúsund línur af kóða, 10 höfundar, 6 skrifendur, 148 opin tölublöð);
  • httpcomponents-viðskiptavinur (121 þúsund línur af kóða, 16 höfundar, 8 committers, 47 opin tölublöð);
  • httpcomponents-core (131 þúsund línur af kóða, 15 höfundar, 4 committers, 7 opin tölublöð);
  • logback (154 þúsund línur af kóða, 1 höfundur, 2 committers, 799 opin tölublöð);
  • commons-lang (168 þúsund línur af kóða, 28 höfundar, 17 committers, 163 opin tölublöð);
  • slf4j (38 þúsund línur af kóða, 4 höfundar, 4 committers, 189 opin tölublöð);

Skýrslan fjallar einnig um að staðla nafnakerfi ytri íhluta, vernda þróunarreikninga og viðhalda eldri útgáfum eftir að stórar nýjar útgáfur eru gerðar. Að auki gefið út af Linux Foundation skjalið með hagnýtum ráðleggingum um skipulagningu á öruggu þróunarferli fyrir opinn hugbúnað.

Skjalið tekur á vandamálum við að dreifa hlutverkum í verkefninu, búa til teymi sem bera ábyrgð á öryggi, skilgreina öryggisstefnu, fylgjast með valdinu sem þátttakendur í verkefninu hafa, rétt nota Git þegar lagað er veikleika til að forðast leka áður en lagfæringin er birt, skilgreina ferli til að bregðast við skýrslum af vandamálum með öryggi, innleiðingu öryggisprófunarkerfa, beitingu aðferða við endurskoðun kóða, að teknu tilliti til öryggistengdra viðmiða við útgáfur.

Heimild: opennet.ru

Bæta við athugasemd