ProHoster > Blogs > interneta ziņas > Bibliotēku reitinga atjaunināšana, kurām nepieciešamas īpašas drošības pārbaudes

Bibliotēku reitinga atjaunināšana, kurām nepieciešamas īpašas drošības pārbaudes

Linux Foundation izveidotais OpenSSF (Open Source Security Foundation), kura mērķis ir uzlabot atvērtā pirmkoda programmatūras drošību, ir publicējis jaunu Census II pētījuma izdevumu, kura mērķis ir identificēt atvērtā pirmkoda projektus, kuriem nepieciešami prioritāri drošības auditi. Pētījums koncentrējas uz koplietotā atvērtā pirmkoda analīzi, kas tiek netieši izmantots dažādos uzņēmumu projektos no ārējiem repozitorijiem lejupielādētu atkarību veidā.

Rezultātā ir sagatavoti 500 visbiežāk izmantoto pakotņu saraksti, kuru drošībai un uzturēšanas kvalitātei jāpievērš īpaša uzmanība, jo lietojumprogrammu darbībā (piegādes ķēdē) iesaistīto trešo pušu komponentu izstrādātāju ievainojamības un kompromisi var noliegt visus centienus uzlabot galvenā produkta aizsardzību. Kopumā ir 8 saraksta opcijas, kuru saturs tiek sakārtots atkarībā no dažādiem kritērijiem, piemēram, piegādes NPM repozitorijā un versijas informācijas klātbūtnes, nosakot atkarības.

10 visbiežāk izmantotās JavaScript pakotnes no NPM repozitorija, kuras lejupielādējušas lietojumprogrammas, nesaistot tās ar versiju:

  • lodash
  • reaģēt
  • axios
  • atkļūdošanas
  • @babel/core
  • izteikt
  • sēt
  • uuid
  • reaģēt-dom
  • jquery

10 visbiežāk izmantotās Python pakotnes, kas tiek izplatītas caur pypi repozitoriju, ir:

  • seši
  • pyyaml
  • pieprasījumi
  • urllib3
  • jinja2
  • python-dateutil
  • klikšķis
  • idna
  • šarde
  • markupsafe

10 visbiežāk izmantotās Ruby atkarības pakotnes, kas tiek izplatītas, izmantojot RubyGems repozitoriju, ir:

  • bouncy-castle-java
  • awssdk
  • rallijs-jasmīns-kodols
  • aws-sdk
  • nunit
  • cscsl
  • highcharts-js-rails
  • antlr3
  • rspec
  • asmīns

10 visbiežāk izmantotās Java pakotņu atkarības, kas tiek izplatītas, izmantojot Maven repozitoriju, ir:

  • org.slf4j:slf4j-api
  • com.fasterxml.jackson.core:jackson-databind
  • com.google.guava:guava
  • com.fasterxml.jackson.core:jackson-core
  • org.springframework:spring-framework-bom
  • com.fasterxml.jackson.core:jackson-anotations
  • commons-io:commons-io
  • junit:junit
  • org.apache.commons:commons-lang3
  • commons-codec:commons-codec

10 visbiežāk izmantotās .NET atkarības pakotnes, kas tiek izplatītas, izmantojot nuget repozitoriju, ir:

  • json.net
  • facebook
  • modernizēts
  • newtonsoft.json
  • castle.core-log4net
  • newtonsoft.json
  • castle.core-log4net
  • frekvences sistēmas atkarības
  • microsoft.extensions.caching.memory
  • microsoft.extensions.dependencyinjection.abstractions

10 visbiežāk izmantotās atkarības pakotnes, kas tiek izplatītas valodai Go, ir šādas:

  • grpc/grpc-go
  • kubernetes/client-go
  • kubernetes/apimachinery
  • kubernetes/api
  • stiept / liecināt
  • kubernetes/klog
  • pkg/kļūdas
  • spf13/kobra
  • x/neto
  • prometheus/client_golang

Avots: opennet.ru

Pievieno komentāru