Pertubuhan Linux Yayasan ini, dengan kerjasama Makmal Inovasi Sains Harvard, telah menyediakan edisi baharu kajian Banci III, yang bertujuan untuk mengenal pasti projek sumber terbuka yang paling banyak digunakan yang memerlukan audit keselamatan keutamaan. Kajian ini menganalisis kod sumber terbuka kongsi yang digunakan secara tersirat dalam pelbagai projek korporat sebagai kebergantungan yang dimuat turun daripada repositori luaran. Secara keseluruhan, lebih daripada 12 juta perpustakaan sumber terbuka yang digunakan dalam aplikasi yang digunakan oleh 10 syarikat berbeza telah dianalisis.
Berdasarkan statistik yang dikumpul, kami menyusun senarai 500 perpustakaan yang paling kerap digunakan yang kualiti keselamatan dan penyelenggaraannya memerlukan perhatian khusus, kerana kelemahan dan kompromi pembangun pergantungan pihak ketiga boleh menafikan semua usaha untuk meningkatkan keselamatan produk teras. Sebanyak lapan senarai telah dibangunkan, disusun berdasarkan pelbagai kriteria, seperti ketersediaan dalam repositori NPM dan kehadiran maklumat versi semasa menentukan kebergantungan.
Beberapa kesimpulan:
- 17% daripada 50 projek paling popular yang tidak disenaraikan dalam repositori NPM hanya mempunyai satu pembangun, dan 40% mempunyai satu atau dua pembangun yang membuat 80% komitmen.
- Berbanding dengan laporan sebelumnya dari 2022, antara pakej penting, penggunaan pakej untuk interaksi dengan perkhidmatan awan telah meningkat.
- Penghijrahan projek daripada Python 2 kepada Python 3 diteruskan.
- Pakej Maven kekal popular, dan penggunaan pakej daripada repositori PIP (Python), Cargo (Rust), dan NuGet (.NET) semakin berkembang.
- Seperti sebelum ini, terdapat keperluan untuk menggunakan skema penamaan piawai untuk komponen perisian.
- Melindungi akaun pembangun telah menjadi semakin penting. Kebanyakan pakej paling popular dihoskan di bawah akaun pembangun tertentu, yang kurang selamat daripada akaun organisasi yang dibuat khusus untuk projek itu.
- 20 pakej JavaScript yang paling biasa digunakan daripada repositori NPM, dimuat turun oleh aplikasi tanpa terikat dengan versi:
- 20 pakej yang paling biasa digunakan daripada repositori bukan NPM yang dimuat turun oleh aplikasi tanpa pengikatan versi ialah:
Sumber: opennet.ru
