Penarafan perpustakaan yang memerlukan pemeriksaan keselamatan khas
Yayasan yang dibentuk oleh Yayasan Linux Inisiatif Infrastruktur Teras, di mana syarikat terkemuka bergabung tenaga untuk menyokong projek sumber terbuka dalam bidang utama industri komputer, dibelanjakan kajian kedua dalam program ini Bancian, bertujuan untuk mengenal pasti projek sumber terbuka yang memerlukan audit keselamatan keutamaan.
Kajian kedua memfokuskan pada analisis kod sumber terbuka yang dikongsi secara tersirat digunakan dalam pelbagai projek perusahaan dalam bentuk kebergantungan yang dimuat turun daripada repositori luaran. Kerentanan dan kompromi pembangun komponen pihak ketiga yang terlibat dalam pengendalian aplikasi (rantaian bekalan) boleh menafikan semua usaha untuk meningkatkan perlindungan produk utama. Hasil daripada kajian itu adalah ditakrifkan 10 pakej yang paling biasa digunakan dalam JavaScript dan Java, keselamatan dan kebolehselenggaraan yang memerlukan perhatian khusus.
Laporan itu juga menangani isu penyeragaman skema penamaan komponen luaran, melindungi akaun pembangun dan mengekalkan versi lama selepas keluaran baharu utama dibuat. Selain itu diterbitkan oleh Yayasan Linux dokumen dengan cadangan praktikal untuk mengatur proses pembangunan yang selamat untuk projek sumber terbuka.
Dokumen itu menangani isu pengagihan peranan dalam projek, mewujudkan pasukan yang bertanggungjawab untuk keselamatan, menentukan dasar keselamatan, memantau kuasa yang dimiliki peserta projek, menggunakan Git dengan betul semasa membetulkan kelemahan untuk mengelakkan kebocoran sebelum menerbitkan pembetulan, menentukan proses untuk bertindak balas kepada laporan masalah dengan keselamatan, pelaksanaan sistem ujian keselamatan, penggunaan prosedur semakan kod, mengambil kira kriteria berkaitan keselamatan semasa membuat keluaran.