ProHoster > Blog > berita internet > Penarafan perpustakaan yang memerlukan pemeriksaan keselamatan khas

Penarafan perpustakaan yang memerlukan pemeriksaan keselamatan khas

Yayasan yang dibentuk oleh Yayasan Linux Inisiatif Infrastruktur Teras, di mana syarikat terkemuka bergabung tenaga untuk menyokong projek sumber terbuka dalam bidang utama industri komputer, dibelanjakan kajian kedua dalam program ini Bancian, bertujuan untuk mengenal pasti projek sumber terbuka yang memerlukan audit keselamatan keutamaan.

Kajian kedua memfokuskan pada analisis kod sumber terbuka yang dikongsi secara tersirat digunakan dalam pelbagai projek perusahaan dalam bentuk kebergantungan yang dimuat turun daripada repositori luaran. Kerentanan dan kompromi pembangun komponen pihak ketiga yang terlibat dalam pengendalian aplikasi (rantaian bekalan) boleh menafikan semua usaha untuk meningkatkan perlindungan produk utama. Hasil daripada kajian itu adalah ditakrifkan 10 pakej yang paling biasa digunakan dalam JavaScript dan Java, keselamatan dan kebolehselenggaraan yang memerlukan perhatian khusus.

Pustaka JavaScript dari repositori npm:

  • async (196 ribu baris kod, 11 pengarang, 7 komitter, 11 isu terbuka);
  • mewarisi (3.8 ribu baris kod, 3 pengarang, 1 komit, 3 masalah yang tidak dapat diselesaikan);
  • isarray (317 baris kod, 3 pengarang, 3 komit, 4 isu terbuka);
  • macam-macam (2 ribu baris kod, 11 pengarang, 11 pengampu, 3 masalah yang tidak dapat diselesaikan);
  • lodash (42 ribu baris kod, 28 pengarang, 2 komit, 30 isu terbuka);
  • minimalis (1.2 ribu baris kod, 14 pengarang, 6 komitter, 38 terbitan terbuka);
  • orang asli (3 ribu baris kod, 2 pengarang, 1 komitter, tiada isu terbuka);
  • qs (5.4 ribu baris kod, 5 pengarang, 2 komit, 41 isu terbuka);
  • strim boleh dibaca (28 ribu baris kod, 10 pengarang, 3 komit, 21 isu terbuka);
  • rentetan_penyahkod (4.2 ribu baris kod, 4 pengarang, 3 komit, 2 isu terbuka).

Pustaka Java dari repositori Maven:

  • teras jackson (74 ribu baris kod, 7 pengarang, 6 komitter, 40 terbitan terbuka);
  • jackson-databind (74 ribu baris kod, 23 pengarang, 2 komitter, 363 terbitan terbuka);
  • jambu.git, perpustakaan Google untuk Java (1 juta baris kod, 83 pengarang, 3 penyampai, 620 terbitan terbuka);
  • commons-codec (51 ribu baris kod, 3 pengarang, 3 komit, 29 isu terbuka);
  • commons-io (73 ribu baris kod, 10 pengarang, 6 komitter, 148 terbitan terbuka);
  • httpkomponen-klien (121 ribu baris kod, 16 pengarang, 8 komitter, 47 isu terbuka);
  • httpcomponents-core (131 ribu baris kod, 15 pengarang, 4 komitter, 7 isu terbuka);
  • log masuk (154 ribu baris kod, 1 pengarang, 2 komit, 799 terbitan terbuka);
  • commons-lang (168 ribu baris kod, 28 pengarang, 17 komitter, 163 terbitan terbuka);
  • slf4j (38 ribu baris kod, 4 pengarang, 4 pengampu, 189 terbitan terbuka);

Laporan itu juga menangani isu penyeragaman skema penamaan komponen luaran, melindungi akaun pembangun dan mengekalkan versi lama selepas keluaran baharu utama dibuat. Selain itu diterbitkan oleh Yayasan Linux dokumen dengan cadangan praktikal untuk mengatur proses pembangunan yang selamat untuk projek sumber terbuka.

Dokumen itu menangani isu pengagihan peranan dalam projek, mewujudkan pasukan yang bertanggungjawab untuk keselamatan, menentukan dasar keselamatan, memantau kuasa yang dimiliki peserta projek, menggunakan Git dengan betul semasa membetulkan kelemahan untuk mengelakkan kebocoran sebelum menerbitkan pembetulan, menentukan proses untuk bertindak balas kepada laporan masalah dengan keselamatan, pelaksanaan sistem ujian keselamatan, penggunaan prosedur semakan kod, mengambil kira kriteria berkaitan keselamatan semasa membuat keluaran.

Sumber: opennet.ru

Tambah komen