Linux Foundation によって設立された財団
XNUMX 番目の調査は、外部リポジトリからダウンロードされた依存関係の形でさまざまなエンタープライズ プロジェクトで暗黙的に使用される共有オープン ソース コードの分析に焦点を当てています。 アプリケーション (サプライ チェーン) の運用に関与するサードパーティ コンポーネントの開発者の脆弱性や侵害により、主要製品の保護を強化するためのすべての努力が台無しになる可能性があります。 研究の結果、こうなりました
npm リポジトリからの JavaScript ライブラリ:
-
非同期 (コード数 196 行、作成者 11 名、コミッター 7 名、未解決の問題 11 件)。 -
受け継ぐ (3.8 行のコード、3 人の作成者、1 人のコミッター、3 つの未解決の問題); -
isarray (317 行のコード、3 人の作成者、3 人のコミッター、4 つの未解決の問題)。 -
種の (コード 2 行、作成者 11 人、コミッター 11 人、未解決の問題 3 つ)。 -
ロダッシュ (42 行のコード、28 人の作成者、2 人のコミッター、30 件の未解決の問題)。 -
ミニミスト (コード 1.2 行、作成者 14 名、コミッター 6 名、未解決の問題 38 件)。 -
先住民 (コード 3 行、作成者 2 人、コミッター 1 人、未解決の問題なし)。 -
qs (5.4 千行のコード、5 人の作成者、2 人のコミッター、41 件の未解決の問題)。 -
読み取り可能なストリーム (28 千行のコード、10 人の作成者、3 人のコミッター、21 件の未解決の問題)。 -
文字列デコーダ (4.2 行のコード、4 人の作成者、3 人のコミッター、2 つの未解決の問題)。
Maven リポジトリからの Java ライブラリ:
-
ジャクソンコア (コード 74 行、作成者 7 名、コミッター 6 名、未解決の問題 40 件)。 -
ジャクソン-データバインド (コード 74 行、作成者 23 名、コミッター 2 名、未解決の問題 363 件)。 -
グアバ.git 、Java 用 Google ライブラリ (コード 1 万行、作成者 83 人、コミッター 3 人、未解決の問題 620 件)。 -
コモンズコーデック (51 行のコード、3 人の作成者、3 人のコミッター、29 件の未解決の問題)。 -
コモンズ-io (コード 73 行、作成者 10 名、コミッター 6 名、未解決の問題 148 件)。 -
httpコンポーネントクライアント (コード数 121 行、作成者 16 人、コミッター 8 人、未解決の問題 47 件)。 -
httpコンポーネントコア (コード数 131 行、作成者 15 名、コミッター 4 名、未解決の問題 7 件)。 -
ログバック (コード 154 行、作成者 1 人、コミッター 2 人、未解決の問題 799 件)。 -
コモンズ言語 (コード数 168 行、作成者 28 名、コミッター 17 名、未解決の問題 163 件)。 -
slf4j (コード数 38 行、作成者 4 名、コミッター 4 名、未解決の問題 189 件)。
このレポートでは、外部コンポーネントの命名スキームの標準化、開発者アカウントの保護、メジャーな新リリースの作成後のレガシー バージョンの維持の問題についても取り上げています。 さらに Linux Foundation からも公開されています
この文書では、プロジェクト内での役割の分散、セキュリティを担当するチームの作成、セキュリティ ポリシーの定義、プロジェクト参加者が持つ権限の監視、脆弱性を修正する際の Git の正しい使用法、修正を公開する前に漏洩を避けること、レポートに対応するプロセスの定義といった問題について取り上げています。セキュリティに関する問題の解決、セキュリティ テスト システムの実装、コード レビュー手順の適用、リリース作成時のセキュリティ関連基準の考慮。
出所: オープンネット.ru