„Linux Foundation“ sudarytas fondas , kuriame pirmaujančios korporacijos suvienijo jėgas, siekdamos paremti atvirojo kodo projektus pagrindinėse kompiuterių pramonės srityse, antroji studija pagal programą , kuriuo siekiama nustatyti atvirojo kodo projektus, kuriems reikia prioritetinių saugos auditų.
Antrasis tyrimas skirtas bendrai naudojamo atvirojo kodo, netiesiogiai naudojamo įvairiuose įmonių projektuose kaip priklausomybių, atsisiųstų iš išorinių saugyklų, analizei. Trečiųjų šalių komponentų, dalyvaujančių programų (tiekimo grandinės) veikime, kūrėjų pažeidžiamumas ir kompromisas gali paneigti visas pastangas pagerinti pagrindinio produkto apsaugą. Tyrimo rezultatas buvo 10 dažniausiai naudojamų „JavaScript“ ir „Java“ paketų, kurių saugumui ir priežiūrai reikia skirti ypatingą dėmesį.
„JavaScript“ bibliotekos iš npm saugyklos:
- (196 tūkst. kodo eilučių, 11 autorių, 7 įpareigotojai, 11 atvirų numerių);
- (3.8 tūkst. kodo eilučių, 3 autoriai, 1 įsipareigojėjas, 3 neišspręstos problemos);
- (317 kodo eilučių, 3 autoriai, 3 įpareigotojai, 4 atviri numeriai);
- (2 tūkst. kodo eilučių, 11 autorių, 11 įsipareigojimų, 3 neišspręstos problemos);
- (42 tūkst. kodo eilučių, 28 autoriai, 2 įpareigotojai, 30 atvirų numerių);
- (1.2 tūkst. kodo eilučių, 14 autorių, 6 įpareigotojai, 38 atviri numeriai);
- (3 tūkst. kodo eilučių, 2 autoriai, 1 įsipareigojėjas, neišspręstų klausimų nėra);
- (5.4 tūkst. kodo eilučių, 5 autoriai, 2 įpareigotojai, 41 atviras numeris);
- (28 tūkst. kodo eilučių, 10 autoriai, 3 įpareigotojai, 21 atviras numeris);
- (4.2 tūkst. kodo eilučių, 4 autoriai, 3 įpareigotojai, 2 atviri numeriai).
„Java“ bibliotekos iš „Maven“ saugyklų:
- (74 tūkst. kodo eilučių, 7 autorių, 6 įpareigotojai, 40 atviri numeriai);
- (74 tūkst. kodo eilučių, 23 autorių, 2 įpareigotojai, 363 atviri numeriai);
- , Google bibliotekos, skirtos Java (1 milijonas kodo eilučių, 83 autoriai, 3 įsipareigojimai, 620 neišspręstų numerių);
- (51 tūkst. kodo eilučių, 3 autoriai, 3 įpareigotojai, 29 atviri numeriai);
- (73 tūkst. kodo eilučių, 10 autorių, 6 įpareigotojai, 148 atviri numeriai);
- (121 tūkst. kodo eilučių, 16 autorių, 8 įpareigotojai, 47 neišleisti numeriai);
- (131 tūkst. kodo eilučių, 15 autorių, 4 įpareigotojai, 7 atviri numeriai);
- (154 tūkst. kodo eilučių, 1 autorius, 2 įpareigotojai, 799 neišleisti numeriai);
- (168 tūkst. kodo eilučių, 28 autoriai, 17 įsipareigojimų, 163 atviri numeriai);
- (38 tūkst. kodo eilučių, 4 autoriai, 4 įpareigotojai, 189 atviri numeriai);
Ataskaitoje taip pat aptariamos išorinių komponentų pavadinimų schemos standartizavimo, kūrėjų paskyrų apsaugos ir senų versijų palaikymo po pagrindinių naujų leidimų problemos. Papildomai paskelbė Linux Foundation su praktinėmis rekomendacijomis, kaip organizuoti saugų atvirojo kodo projektų kūrimo procesą.
Dokumente nagrinėjami vaidmenų paskirstymo projekte, už saugumą atsakingų komandų kūrimo, saugumo politikos apibrėžimo, projekto dalyvių turimų galių stebėjimo, teisingo Git naudojimo taisant spragas siekiant išvengti nutekėjimo prieš pataisymo paskelbimą, atsakymo į ataskaitas procesų apibrėžimo klausimai. saugumo problemų, saugumo testavimo sistemų diegimas, kodų peržiūros procedūrų taikymas, atsižvelgiant į su saugumu susijusius kriterijus kuriant leidimus.
Šaltinis: opennet.ru