Valutazione delle biblioteche che richiedono controlli di sicurezza speciali
Fondazione costituita dalla Linux Foundation Iniziativa per le infrastrutture di base, in cui aziende leader hanno unito le forze per sostenere progetti open source in aree chiave dell'industria informatica, condotto secondo studio all'interno del programma Censimento, volto a identificare i progetti open source che necessitano di controlli di sicurezza prioritari.
Il secondo studio si concentra sull'analisi del codice open source condiviso utilizzato implicitamente in vari progetti aziendali sotto forma di dipendenze scaricate da repository esterni. Le vulnerabilità e la compromissione degli sviluppatori di componenti di terze parti coinvolti nel funzionamento delle applicazioni (catena di fornitura) possono annullare tutti gli sforzi volti a migliorare la protezione del prodotto principale. Come risultato dello studio lo era definito I 10 pacchetti più comunemente utilizzati in JavaScript e Java, la cui sicurezza e manutenibilità richiedono un'attenzione particolare.
Il rapporto affronta anche questioni relative alla standardizzazione dello schema di denominazione dei componenti esterni, alla protezione degli account degli sviluppatori e al mantenimento delle versioni legacy dopo la realizzazione di nuove importanti versioni. Pubblicato inoltre dalla Linux Foundation documento con raccomandazioni pratiche per organizzare un processo di sviluppo sicuro per progetti open source.
Il documento affronta le questioni relative alla distribuzione dei ruoli nel progetto, alla creazione di team responsabili della sicurezza, alla definizione delle politiche di sicurezza, al monitoraggio dei poteri dei partecipanti al progetto, all'utilizzo corretto di Git durante la correzione delle vulnerabilità per evitare perdite prima di pubblicare la correzione, alla definizione dei processi per rispondere alle segnalazioni dei problemi di sicurezza, implementazione di sistemi di test di sicurezza, applicazione di procedure di revisione del codice, tenendo conto dei criteri legati alla sicurezza durante la creazione delle versioni.