ProHoster > Blogs > interneta ziņas > Bibliotēku vērtējums, kurām nepieciešama īpaša drošības pārbaude

Bibliotēku vērtējums, kurām nepieciešama īpaša drošības pārbaude

Fonds, ko izveidojis Linux fonds Galvenās infrastruktūras iniciatīva, kurā vadošās korporācijas apvienoja spēkus, lai atbalstītu atvērtā pirmkoda projektus galvenajās datoru nozares jomās, iztērēti otrais pētījums programmas ietvaros Skaitīšana, kuras mērķis ir identificēt atvērtā pirmkoda projektus, kuriem nepieciešami prioritāri drošības auditi.

Otrais pētījums ir vērsts uz koplietotā atvērtā pirmkoda analīzi, kas netieši izmantots dažādos uzņēmumu projektos atkarību veidā, kas lejupielādētas no ārējiem repozitorijiem. Lietojumprogrammu darbībā (piegādes ķēdē) iesaistīto trešo pušu komponentu izstrādātāju ievainojamības un kompromitēšana var noliegt visus centienus uzlabot galvenā produkta aizsardzību. Pētījuma rezultātā tā bija noteikti 10 visbiežāk lietotās JavaScript un Java pakotnes, kuru drošībai un apkopei jāpievērš īpaša uzmanība.

JavaScript bibliotēkas no npm repozitorija:

  • async (196 tūkst. koda rindu, 11 autori, 7 apņēmēji, 11 atvērti numuri);
  • manto (3.8 tūkst. koda rindiņu, 3 autori, 1 apņēmējs, 3 neatrisinātas problēmas);
  • isarray (317 koda rindiņas, 3 autori, 3 apņēmēji, 4 atvērti numuri);
  • it kā (2 tūkst. koda rindiņu, 11 autori, 11 apņēmēji, 3 neatrisinātas problēmas);
  • lodash (42 tūkst. koda rindiņu, 28 autori, 2 apņēmēji, 30 atvērti numuri);
  • minimālists (1.2 tūkst. koda rindu, 14 autori, 6 apņēmēji, 38 atvērti numuri);
  • vietējie iedzīvotāji (3 tūkstoši koda rindiņu, 2 autori, 1 apņēmējs, nav atvērtu jautājumu);
  • qs (5.4 tūkst. koda rindiņu, 5 autori, 2 apņēmēji, 41 atvērts numurs);
  • lasāma straume (28 tūkst. koda rindiņu, 10 autori, 3 apņēmēji, 21 atvērts numurs);
  • virknes_dekodētājs (4.2 tūkst. koda rindiņu, 4 autori, 3 apņēmēji, 2 atvērti numuri).

Java bibliotēkas no Maven krātuvēm:

  • jackson-core (74 tūkst. koda rindu, 7 autori, 6 apņēmēji, 40 atvērti numuri);
  • jackson-databind (74 tūkst. koda rindu, 23 autori, 2 apņēmēji, 363 atvērti numuri);
  • guava.git, Google bibliotēkas priekš Java (1 miljons koda rindiņu, 83 autori, 3 apņēmēji, 620 atvērti numuri);
  • Commons-kodeku (51 tūkstotis koda rindiņu, 3 autori, 3 apņēmēji, 29 atvērti numuri);
  • commons-io (73 tūkst. koda rindu, 10 autori, 6 apņēmēji, 148 atvērti numuri);
  • httpcomponents-client (121 tūkstotis koda rindu, 16 autori, 8 apņēmēji, 47 atvērti numuri);
  • httpcomponents-core (131 tūkstotis koda rindiņu, 15 autori, 4 apņēmēji, 7 atvērti numuri);
  • logback (154 tūkst. koda rindiņu, 1 autors, 2 apņēmēji, 799 atvērti numuri);
  • commons-lang (168 tūkst. koda rindu, 28 autori, 17 pieņēmēji, 163 atvērti numuri);
  • slf4j (38 tūkst. koda rindu, 4 autori, 4 apņēmēji, 189 atvērti numuri);

Ziņojumā apskatīti arī jautājumi par ārējo komponentu nosaukšanas shēmas standartizēšanu, izstrādātāju kontu aizsardzību un mantoto versiju uzturēšanu pēc lielu jaunu izlaidumu izlaišanas. Papildus publicēja Linux Foundation dokuments ar praktiskiem ieteikumiem atvērtā pirmkoda projektu droša izstrādes procesa organizēšanai.

Dokumentā aplūkoti jautājumi par lomu sadali projektā, par drošību atbildīgo komandu izveidi, drošības politiku definēšanu, projekta dalībnieku pilnvaru uzraudzību, pareizu Git izmantošanu ievainojamību novēršanā, lai izvairītos no noplūdēm pirms labojuma publicēšanas, definētu procesus reaģēšanai uz ziņojumiem. par problēmām ar drošību, drošības testēšanas sistēmu ieviešanu, kodu pārskatīšanas procedūru piemērošanu, veidojot izlaidumus, ņemot vērā ar drošību saistītos kritērijus.

Avots: opennet.ru

Pievieno komentāru