Bibliotēku vērtējums, kurām nepieciešama īpaša drošības pārbaude
Fonds, ko izveidojis Linux fonds Galvenās infrastruktūras iniciatīva, kurā vadošās korporācijas apvienoja spēkus, lai atbalstītu atvērtā pirmkoda projektus galvenajās datoru nozares jomās, iztērēti otrais pētījums programmas ietvaros Skaitīšana, kuras mērķis ir identificēt atvērtā pirmkoda projektus, kuriem nepieciešami prioritāri drošības auditi.
Otrais pētījums ir vērsts uz koplietotā atvērtā pirmkoda analīzi, kas netieši izmantots dažādos uzņēmumu projektos atkarību veidā, kas lejupielādētas no ārējiem repozitorijiem. Lietojumprogrammu darbībā (piegādes ķēdē) iesaistīto trešo pušu komponentu izstrādātāju ievainojamības un kompromitēšana var noliegt visus centienus uzlabot galvenā produkta aizsardzību. Pētījuma rezultātā tā bija noteikti 10 visbiežāk lietotās JavaScript un Java pakotnes, kuru drošībai un apkopei jāpievērš īpaša uzmanība.
Ziņojumā apskatīti arī jautājumi par ārējo komponentu nosaukšanas shēmas standartizēšanu, izstrādātāju kontu aizsardzību un mantoto versiju uzturēšanu pēc lielu jaunu izlaidumu izlaišanas. Papildus publicēja Linux Foundation dokuments ar praktiskiem ieteikumiem atvērtā pirmkoda projektu droša izstrādes procesa organizēšanai.
Dokumentā aplūkoti jautājumi par lomu sadali projektā, par drošību atbildīgo komandu izveidi, drošības politiku definēšanu, projekta dalībnieku pilnvaru uzraudzību, pareizu Git izmantošanu ievainojamību novēršanā, lai izvairītos no noplūdēm pirms labojuma publicēšanas, definētu procesus reaģēšanai uz ziņojumiem. par problēmām ar drošību, drošības testēšanas sistēmu ieviešanu, kodu pārskatīšanas procedūru piemērošanu, veidojot izlaidumus, ņemot vērā ar drošību saistītos kritērijus.