Bewäertung vu Bibliothéiken déi speziell Sécherheetskontrollen erfuerderen
Foundation gegrënnt vun der Linux Foundation Core Infrastructure Initiative, an deem führend Firmen sech zesummegeschloss hunn fir Open Source Projeten a Schlësselberäicher vun der Computerindustrie z'ënnerstëtzen, ausginn zweet Studie am Programm Zensus, zielt fir Open Source Projeten z'identifizéieren déi prioritär Sécherheetsaudits brauchen.
Déi zweet Etude konzentréiert sech op d'Analyse vum gemeinsame Open Source Code, déi implizit a verschiddenen Entreprisenprojeten benotzt gëtt a Form vun Ofhängegkeete vun externen Repositories erofgelueden. Schwachstelle a Kompromëss vun Entwéckler vun Drëttubidder Komponenten, déi an der Operatioun vun Uwendungen involvéiert sinn (Versuergungskette) kënnen all Efforte negéieren fir de Schutz vum Haaptprodukt ze verbesseren. Als Resultat vun der Etude war et definitiv Déi 10 am meeschte benotzt Packagen a JavaScript a Java, d'Sécherheet an d'Erhale vun deenen speziell Opmierksamkeet erfuerderen.
De Bericht adresséiert och Themen vun der Standardiséierung vum Nummschema vun externe Komponenten, Schutz vun Entwécklerkonten an Erhalen vun Legacy Versiounen nodeems grouss nei Verëffentlechunge gemaach ginn. Zousätzlech publizéiert vun der Linux Foundation dokumentéieren mat praktesche Empfehlungen fir e sécheren Entwécklungsprozess fir Open Source Projeten ze organiséieren.
D'Dokument adresséiert d'Problemer fir Rollen am Projet ze verdeelen, Teams verantwortlech fir d'Sécherheet ze kreéieren, Sécherheetspolitik ze definéieren, d'Kraaft ze iwwerwaachen, déi de Projet Participanten hunn, korrekt Git ze benotzen wann Dir Schwachstelle fixéiert fir Leckage ze vermeiden ier Dir d'Fix publizéiert, Prozesser definéieren fir op Berichter ze reagéieren. vu Probleemer mat der Sécherheet, Ëmsetzung vu Sécherheetstestsystemer, Uwendung vu Coderevisiounsprozeduren, berécksiichtegt Sécherheetsbezunnen Critèren beim Schafe vun Releases.