Fondazzjoni ffurmata mill-Fondazzjoni Linux , li fiha korporazzjonijiet ewlenin ingħaqdu biex jappoġġjaw proġetti ta' sors miftuħ f'oqsma ewlenin tal-industrija tal-kompjuter, it-tieni studju fi ħdan il-programm , immirat lejn l-identifikazzjoni ta’ proġetti ta’ sors miftuħ li jeħtieġu verifiki ta’ sigurtà ta’ prijorità.
It-tieni studju jiffoka fuq l-analiżi ta 'kodiċi ta' sors miftuħ kondiviż użat impliċitament f'diversi proġetti ta 'intrapriżi fil-forma ta' dipendenzi mniżżla minn repożitorji esterni. Vulnerabbiltajiet u kompromess ta 'żviluppaturi ta' komponenti ta 'partijiet terzi involuti fl-operat ta' applikazzjonijiet (katina tal-provvista) jistgħu jiċħdu l-isforzi kollha biex itejbu l-protezzjoni tal-prodott ewlieni. Bħala riżultat tal-istudju kien L-10 pakketti l-aktar użati b'mod komuni f'JavaScript u Java, li s-sigurtà u l-manutenzjoni tagħhom jeħtieġu attenzjoni speċjali.
Libreriji JavaScript mir-repożitorju npm:
- (196 elf linja ta' kodiċi, 11-il awtur, 7 kummittenti, 11-il ħarġa miftuħa);
- (3.8 elf linja ta 'kodiċi, 3 awturi, 1 committer, 3 problemi mhux solvuti);
- (317-il linja ta' kodiċi, 3 awturi, 3 committers, 4 ħarġiet miftuħa);
- (2 linja ta' kodiċi, 11-il awtur, 11-il kommittur, 3 problemi mhux solvuti);
- (42 elf linja ta 'kodiċi, 28 awtur, 2 committers, 30 ħarġa miftuħa);
- (1.2 elf linja ta' kodiċi, 14-il awtur, 6 kummittenti, 38 ħarġa miftuħa);
- (3 elef linja ta 'kodiċi, 2 awturi, 1 committer, l-ebda kwistjoni miftuħa);
- (5.4 elf linja ta 'kodiċi, 5 awturi, 2 committers, 41 ħarġa miftuħa);
- (28 elf linja ta 'kodiċi, 10 awturi, 3 committers, 21 ħarġa miftuħa);
- (4.2 elf linja ta 'kodiċi, 4 awturi, 3 committers, 2 kwistjonijiet miftuħa).
Libreriji Java minn repożitorji Maven:
- (74 elf linja ta' kodiċi, 7-il awtur, 6 kummittenti, 40 ħarġa miftuħa);
- (74 elf linja ta' kodiċi, 23-il awtur, 2 kummittenti, 363 ħarġa miftuħa);
- , Libreriji ta' Google għal Java (1 miljun linja ta' kodiċi, 83 awtur, 3 committers, 620 ħarġa miftuħa);
- (51 elf linja ta 'kodiċi, 3 awturi, 3 committers, 29 ħarġa miftuħa);
- (73 elf linja ta' kodiċi, 10-il awtur, 6 kummittenti, 148 ħarġa miftuħa);
- (121 elf linja ta' kodiċi, 16-il awtur, 8 kummittenti, 47 ħarġa miftuħa);
- (131 elf linja ta' kodiċi, 15-il awtur, 4 kummittenti, 7 ħarġiet miftuħa);
- (154 elf linja ta' kodiċi, awtur 1, 2 kommitters, 799 ħarġa miftuħa);
- (168 elf linja ta' kodiċi, 28 awtur, 17-il kummissarju, 163 ħarġa miftuħa);
- (38 elf linja ta' kodiċi, 4 awturi, 4 kommittenti, 189 ħarġa miftuħa);
Ir-rapport jindirizza wkoll kwistjonijiet ta 'standardizzazzjoni tal-iskema ta' ismijiet ta 'komponenti esterni, il-protezzjoni tal-kontijiet tal-iżviluppatur, u ż-żamma ta' verżjonijiet legacy wara li jsiru ħarġiet ġodda ewlenin. Barra minn hekk ippubblikata mill-Linux Foundation b’rakkomandazzjonijiet prattiċi għall-organizzazzjoni ta’ proċess ta’ żvilupp sigur għal proġetti ta’ sors miftuħ.
Id-dokument jindirizza l-kwistjonijiet tad-distribuzzjoni tar-rwoli fil-proġett, il-ħolqien ta 'timijiet responsabbli għas-sigurtà, id-definizzjoni tal-politiki tas-sigurtà, il-monitoraġġ tas-setgħat li għandhom il-parteċipanti tal-proġett, l-użu korrett tal-Git meta jiffissaw il-vulnerabbiltajiet biex jevitaw tnixxijiet qabel ma jippubblikaw it-tiswija, id-definizzjoni tal-proċessi għar-rispons għar-rapporti ta' problemi mas-sigurtà, implimentazzjoni ta' sistemi ta' ttestjar tas-sigurtà, applikazzjoni ta' proċeduri ta' reviżjoni tal-kodiċi, b'kont meħud tal-kriterji relatati mas-sigurtà meta jinħolqu rilaxxi.
Sors: opennet.ru