Linux Foundation izveidotais OpenSSF (Open Source Security Foundation), kura mērķis ir uzlabot atvērtā pirmkoda programmatūras drošību, ir publicējis jaunu Census II pētījuma izdevumu, kura mērķis ir identificēt atvērtā pirmkoda projektus, kuriem nepieciešami prioritāri drošības auditi. Pētījums koncentrējas uz koplietotā atvērtā pirmkoda analīzi, kas tiek netieši izmantots dažādos uzņēmumu projektos no ārējiem repozitorijiem lejupielādētu atkarību veidā.
Rezultātā ir sagatavoti 500 visbiežāk izmantoto pakotņu saraksti, kuru drošībai un uzturēšanas kvalitātei jāpievērš īpaša uzmanība, jo lietojumprogrammu darbībā (piegādes ķēdē) iesaistīto trešo pušu komponentu izstrādātāju ievainojamības un kompromisi var noliegt visus centienus uzlabot galvenā produkta aizsardzību. Kopumā ir 8 saraksta opcijas, kuru saturs tiek sakārtots atkarībā no dažādiem kritērijiem, piemēram, piegādes NPM repozitorijā un versijas informācijas klātbūtnes, nosakot atkarības.
10 visbiežāk izmantotās JavaScript pakotnes no NPM repozitorija, kuras lejupielādējušas lietojumprogrammas, nesaistot tās ar versiju:
- lodash
- reaģēt
- axios
- atkļūdošanas
- @babel/core
- izteikt
- sēt
- uuid
- reaģēt-dom
- jquery
10 visbiežāk izmantotās Python pakotnes, kas tiek izplatītas caur pypi repozitoriju, ir:
- seši
- pyyaml
- pieprasījumi
- urllib3
- jinja2
- python-dateutil
- klikšķis
- idna
- šarde
- markupsafe
10 visbiežāk izmantotās Ruby atkarības pakotnes, kas tiek izplatītas, izmantojot RubyGems repozitoriju, ir:
- bouncy-castle-java
- awssdk
- rallijs-jasmīns-kodols
- aws-sdk
- nunit
- cscsl
- highcharts-js-rails
- antlr3
- rspec
- asmīns
10 visbiežāk izmantotās Java pakotņu atkarības, kas tiek izplatītas, izmantojot Maven repozitoriju, ir:
- org.slf4j:slf4j-api
- com.fasterxml.jackson.core:jackson-databind
- com.google.guava:guava
- com.fasterxml.jackson.core:jackson-core
- org.springframework:spring-framework-bom
- com.fasterxml.jackson.core:jackson-anotations
- commons-io:commons-io
- junit:junit
- org.apache.commons:commons-lang3
- commons-codec:commons-codec
10 visbiežāk izmantotās .NET atkarības pakotnes, kas tiek izplatītas, izmantojot nuget repozitoriju, ir:
- json.net
- modernizēts
- newtonsoft.json
- castle.core-log4net
- newtonsoft.json
- castle.core-log4net
- frekvences sistēmas atkarības
- microsoft.extensions.caching.memory
- microsoft.extensions.dependencyinjection.abstractions
10 visbiežāk izmantotās atkarības pakotnes, kas tiek izplatītas valodai Go, ir šādas:
- grpc/grpc-go
- kubernetes/client-go
- kubernetes/apimachinery
- kubernetes/api
- stiept / liecināt
- kubernetes/klog
- pkg/kļūdas
- spf13/kobra
- x/neto
- prometheus/client_golang
Avots: opennet.ru