ProHoster > Π‘Π»ΠΎΠ³ > warta internet > Rating perpustakaan sing mbutuhake pemeriksaan keamanan khusus

Rating perpustakaan sing mbutuhake pemeriksaan keamanan khusus

Yayasan sing dibentuk dening Yayasan Linux Inisiatif Infrastruktur Inti, ing ngendi perusahaan-perusahaan terkemuka gabung kanggo ndhukung proyek sumber terbuka ing bidang utama industri komputer, ngginakaken sinau kapindho ing program Census, ngarahake kanggo ngenali proyek open source sing mbutuhake audit keamanan prioritas.

Panaliten kapindho fokus ing analisis kode open source sing dienggo sacara implisit digunakake ing macem-macem proyek perusahaan ing bentuk dependensi sing diunduh saka repositori eksternal. Kerentanan lan kompromi saka pangembang komponen pihak katelu sing melu operasi aplikasi (rantai pasokan) bisa negate kabeh upaya kanggo nambah perlindungan produk utama. Minangka asil saka sinau iku ditetepake 10 paket sing paling umum digunakake ing JavaScript lan Jawa, keamanan lan pangopènan sing mbutuhake perhatian khusus.

Pustaka JavaScript saka repositori npm:

  • async (196 ewu baris kode, 11 penulis, 7 committers, 11 mbukak masalah);
  • pusaka (3.8 ewu baris kode, 3 penulis, 1 committer, 3 masalah sing durung rampung);
  • isar (317 baris kode, 3 penulis, 3 committers, 4 mbukak masalah);
  • koyo (2 ewu baris kode, 11 penulis, 11 committers, 3 masalah sing durung rampung);
  • lodash (42 ewu baris kode, 28 penulis, 2 committers, 30 mbukak masalah);
  • minimalis (1.2 ewu baris kode, 14 penulis, 6 committers, 38 mbukak masalah);
  • wong asli (3 ewu baris kode, 2 penulis, 1 committer, ora ana masalah mbukak);
  • qs (5.4 ewu baris kode, 5 penulis, 2 committers, 41 mbukak masalah);
  • diwaca-stream (28 ewu baris kode, 10 penulis, 3 committers, 21 mbukak masalah);
  • string_decoder (4.2 ewu baris kode, 4 penulis, 3 committers, 2 mbukak masalah).

Pustaka Java saka repositori Maven:

  • jackson-inti (74 ewu baris kode, 7 penulis, 6 committers, 40 mbukak masalah);
  • jackson-databind (74 ewu baris kode, 23 penulis, 2 committers, 363 mbukak masalah);
  • jambu.git, Pustaka Google kanggo Jawa (1 yuta baris kode, 83 penulis, 3 committers, 620 mbukak masalah);
  • commons-codec (51 ewu baris kode, 3 penulis, 3 committers, 29 mbukak masalah);
  • umum-io (73 ewu baris kode, 10 penulis, 6 committers, 148 mbukak masalah);
  • httpkomponen-klien (121 ewu baris kode, 16 penulis, 8 committers, 47 mbukak masalah);
  • httpkomponen-inti (131 ewu baris kode, 15 penulis, 4 committers, 7 mbukak masalah);
  • mlebu maneh (154 ewu baris kode, 1 penulis, 2 committers, 799 mbukak masalah);
  • commons-lang (168 ewu baris kode, 28 penulis, 17 committers, 163 mbukak masalah);
  • slf4j (38 ewu baris kode, 4 penulis, 4 committers, 189 mbukak masalah);

Laporan kasebut uga ngatasi masalah standarisasi skema penamaan komponen eksternal, nglindhungi akun pangembang, lan njaga versi warisan sawise rilis anyar gedhe digawe. Tambahan diterbitake dening Linux Foundation dokumen kasebut kanthi rekomendasi praktis kanggo ngatur proses pangembangan sing aman kanggo proyek sumber terbuka.

Dokumen kasebut ngatasi masalah distribusi peran ing proyek kasebut, nggawe tim sing tanggung jawab kanggo keamanan, netepake kabijakan keamanan, ngawasi kekuwatan sing diduweni peserta proyek, kanthi bener nggunakake Git nalika ndandani kerentanan supaya ora bocor sadurunge nerbitake perbaikan, nemtokake proses kanggo nanggapi laporan. masalah karo keamanan, implementasine saka sistem testing keamanan, aplikasi saka prosedur review kode, njupuk menyang akun kritΓ©ria related keamanan nalika nggawe rilis.

Source: opennet.ru

Add a comment