Linux Foundation によって設立された財団 、大手企業が協力してコンピューター業界の主要分野におけるオープンソース プロジェクトをサポートします。 プログラム内の XNUMX 番目の学習 、優先的なセキュリティ監査が必要なオープンソース プロジェクトを特定することを目的としています。
XNUMX 番目の調査は、外部リポジトリからダウンロードされた依存関係の形でさまざまなエンタープライズ プロジェクトで暗黙的に使用される共有オープン ソース コードの分析に焦点を当てています。 アプリケーション (サプライ チェーン) の運用に関与するサードパーティ コンポーネントの開発者の脆弱性や侵害により、主要製品の保護を強化するためのすべての努力が台無しになる可能性があります。 研究の結果、こうなりました JavaScript と Java で最も一般的に使用される 10 個のパッケージ。セキュリティと保守性に特別な注意が必要です。
npm リポジトリからの JavaScript ライブラリ:
- (コード数 196 行、作成者 11 名、コミッター 7 名、未解決の問題 11 件)。
- (3.8 行のコード、3 人の作成者、1 人のコミッター、3 つの未解決の問題);
- (317 行のコード、3 人の作成者、3 人のコミッター、4 つの未解決の問題)。
- (コード 2 行、作成者 11 人、コミッター 11 人、未解決の問題 3 つ)。
- (42 行のコード、28 人の作成者、2 人のコミッター、30 件の未解決の問題)。
- (コード 1.2 行、作成者 14 名、コミッター 6 名、未解決の問題 38 件)。
- (コード 3 行、作成者 2 人、コミッター 1 人、未解決の問題なし)。
- (5.4 千行のコード、5 人の作成者、2 人のコミッター、41 件の未解決の問題)。
- (28 千行のコード、10 人の作成者、3 人のコミッター、21 件の未解決の問題)。
- (4.2 行のコード、4 人の作成者、3 人のコミッター、2 つの未解決の問題)。
Maven リポジトリからの Java ライブラリ:
- (コード 74 行、作成者 7 名、コミッター 6 名、未解決の問題 40 件)。
- (コード 74 行、作成者 23 名、コミッター 2 名、未解決の問題 363 件)。
- 、Java 用 Google ライブラリ (コード 1 万行、作成者 83 人、コミッター 3 人、未解決の問題 620 件)。
- (51 行のコード、3 人の作成者、3 人のコミッター、29 件の未解決の問題)。
- (コード 73 行、作成者 10 名、コミッター 6 名、未解決の問題 148 件)。
- (コード数 121 行、作成者 16 人、コミッター 8 人、未解決の問題 47 件)。
- (コード数 131 行、作成者 15 名、コミッター 4 名、未解決の問題 7 件)。
- (コード 154 行、作成者 1 人、コミッター 2 人、未解決の問題 799 件)。
- (コード数 168 行、作成者 28 名、コミッター 17 名、未解決の問題 163 件)。
- (コード数 38 行、作成者 4 名、コミッター 4 名、未解決の問題 189 件)。
このレポートでは、外部コンポーネントの命名スキームの標準化、開発者アカウントの保護、メジャーな新リリースの作成後のレガシー バージョンの維持の問題についても取り上げています。 さらに Linux Foundation からも公開されています オープンソース プロジェクトの安全な開発プロセスを組織するための実践的な推奨事項を示します。
この文書では、プロジェクト内での役割の分散、セキュリティを担当するチームの作成、セキュリティ ポリシーの定義、プロジェクト参加者が持つ権限の監視、脆弱性を修正する際の Git の正しい使用法、修正を公開する前に漏洩を避けること、レポートに対応するプロセスの定義といった問題について取り上げています。セキュリティに関する問題の解決、セキュリティ テスト システムの実装、コード レビュー手順の適用、リリース作成時のセキュリティ関連基準の考慮。
出所: オープンネット.ru