Foundation gegrënnt vun der Linux Foundation , an deem führend Firmen sech zesummegeschloss hunn fir Open Source Projeten a Schlësselberäicher vun der Computerindustrie z'ënnerstëtzen, zweet Studie am Programm , zielt fir Open Source Projeten z'identifizéieren déi prioritär Sécherheetsaudits brauchen.
Déi zweet Etude konzentréiert sech op d'Analyse vum gemeinsame Open Source Code, déi implizit a verschiddenen Entreprisenprojeten benotzt gëtt a Form vun Ofhängegkeete vun externen Repositories erofgelueden. Schwachstelle a Kompromëss vun Entwéckler vun Drëttubidder Komponenten, déi an der Operatioun vun Uwendungen involvéiert sinn (Versuergungskette) kënnen all Efforte negéieren fir de Schutz vum Haaptprodukt ze verbesseren. Als Resultat vun der Etude war et Déi 10 am meeschte benotzt Packagen a JavaScript a Java, d'Sécherheet an d'Erhale vun deenen speziell Opmierksamkeet erfuerderen.
JavaScript Bibliothéike vum npm Repository:
- (196 dausend Zeilen vum Code, 11 Auteuren, 7 Engagementer, 11 oppe Froen);
- (3.8 dausend Zeilen Code, 3 Auteuren, 1 Committer, 3 ongeléiste Problemer);
- (317 Zeilen Code, 3 Auteuren, 3 Engagementer, 4 oppe Froen);
- (2 dausend Zeilen Code, 11 Auteuren, 11 Engagementer, 3 ongeléiste Problemer);
- (42 dausend Zeilen vum Code, 28 Auteuren, 2 Engagementer, 30 oppe Froen);
- (1.2 dausend Zeilen Code, 14 Auteuren, 6 Engagementer, 38 oppe Froen);
- (3 dausend Zeilen Code, 2 Auteuren, 1 Committer, keng oppen Themen);
- (5.4 dausend Zeilen Code, 5 Auteuren, 2 Engagementer, 41 oppe Froen);
- (28 dausend Zeilen Code, 10 Auteuren, 3 Engagementer, 21 oppe Froen);
- (4.2 dausend Zeilen Code, 4 Auteuren, 3 Engagementer, 2 oppe Froen).
Java Bibliothéike vu Maven Repositories:
- (74 dausend Zeilen Code, 7 Auteuren, 6 Engagementer, 40 oppe Froen);
- (74 dausend Zeilen Code, 23 Auteuren, 2 Engagementer, 363 oppe Froen);
- , Google Bibliothéike fir Java (1 Millioun Zeilen Code, 83 Auteuren, 3 Committer, 620 oppe Froen);
- (51 dausend Zeilen Code, 3 Auteuren, 3 Engagementer, 29 oppe Froen);
- (73 dausend Zeilen Code, 10 Auteuren, 6 Engagementer, 148 oppe Froen);
- (121 dausend Zeilen vum Code, 16 Auteuren, 8 Engagementer, 47 oppe Froen);
- (131 dausend Zeilen vum Code, 15 Auteuren, 4 Engagementer, 7 oppe Froen);
- (154 dausend Zeilen vum Code, 1 Auteur, 2 Engagementer, 799 oppe Froen);
- (168 dausend Zeilen vum Code, 28 Auteuren, 17 Engagementer, 163 oppe Froen);
- (38 dausend Zeilen vum Code, 4 Auteuren, 4 Engagementer, 189 oppe Froen);
De Bericht adresséiert och Themen vun der Standardiséierung vum Nummschema vun externe Komponenten, Schutz vun Entwécklerkonten an Erhalen vun Legacy Versiounen nodeems grouss nei Verëffentlechunge gemaach ginn. Zousätzlech publizéiert vun der Linux Foundation mat praktesche Empfehlungen fir e sécheren Entwécklungsprozess fir Open Source Projeten ze organiséieren.
D'Dokument adresséiert d'Problemer fir Rollen am Projet ze verdeelen, Teams verantwortlech fir d'Sécherheet ze kreéieren, Sécherheetspolitik ze definéieren, d'Kraaft ze iwwerwaachen, déi de Projet Participanten hunn, korrekt Git ze benotzen wann Dir Schwachstelle fixéiert fir Leckage ze vermeiden ier Dir d'Fix publizéiert, Prozesser definéieren fir op Berichter ze reagéieren. vu Probleemer mat der Sécherheet, Ëmsetzung vu Sécherheetstestsystemer, Uwendung vu Coderevisiounsprozeduren, berécksiichtegt Sécherheetsbezunnen Critèren beim Schafe vun Releases.
Source: opennet.ru