Stichting opgericht door de Linux Foundation , waarin toonaangevende bedrijven hun krachten bundelden om open source-projecten op belangrijke gebieden van de computerindustrie te ondersteunen, tweede studie binnen het programma , gericht op het identificeren van open source-projecten die prioritaire beveiligingsaudits nodig hebben.
De tweede studie richt zich op de analyse van gedeelde open source-code die impliciet wordt gebruikt in verschillende bedrijfsprojecten in de vorm van afhankelijkheden die zijn gedownload van externe repositories. Kwetsbaarheden en compromissen van ontwikkelaars van componenten van derden die betrokken zijn bij de werking van applicaties (toeleveringsketen) kunnen alle inspanningen om de bescherming van het hoofdproduct te verbeteren teniet doen. Als resultaat van het onderzoek was dat zo De 10 meest gebruikte pakketten in JavaScript en Java, waarvan de veiligheid en onderhoudbaarheid speciale aandacht vereisen.
JavaScript-bibliotheken uit npm-repository:
- (196 duizend regels code, 11 auteurs, 7 committers, 11 openstaande problemen);
- (3.8 duizend regels code, 3 auteurs, 1 committer, 3 onopgeloste problemen);
- (317 regels code, 3 auteurs, 3 committers, 4 openstaande problemen);
- (2 coderegels, 11 auteurs, 11 committers, 3 onopgeloste problemen);
- (42 duizend regels code, 28 auteurs, 2 committers, 30 openstaande problemen);
- (1.2 duizend regels code, 14 auteurs, 6 committers, 38 openstaande problemen);
- (3 regels code, 2 auteurs, 1 committer, geen openstaande problemen);
- (5.4 duizend regels code, 5 auteurs, 2 committers, 41 openstaande problemen);
- (28 duizend regels code, 10 auteurs, 3 committers, 21 openstaande problemen);
- (4.2 duizend regels code, 4 auteurs, 3 committers, 2 openstaande problemen).
Java-bibliotheken uit Maven-repository's:
- (74 duizend regels code, 7 auteurs, 6 committers, 40 openstaande problemen);
- (74 duizend regels code, 23 auteurs, 2 committers, 363 openstaande problemen);
- , Google-bibliotheken voor Java (1 miljoen regels code, 83 auteurs, 3 committers, 620 openstaande problemen);
- (51 regels code, 3 auteurs, 3 committers, 29 openstaande problemen);
- (73 duizend regels code, 10 auteurs, 6 committers, 148 openstaande problemen);
- (121 duizend regels code, 16 auteurs, 8 committers, 47 openstaande problemen);
- (131 duizend regels code, 15 auteurs, 4 committers, 7 openstaande problemen);
- (154 duizend regels code, 1 auteur, 2 committers, 799 openstaande nummers);
- (168 duizend regels code, 28 auteurs, 17 committers, 163 openstaande problemen);
- (38 regels code, 4 auteurs, 4 committers, 189 openstaande problemen);
Het rapport behandelt ook problemen met het standaardiseren van het naamgevingsschema van externe componenten, het beschermen van ontwikkelaarsaccounts en het onderhouden van oudere versies nadat grote nieuwe releases zijn uitgebracht. Bovendien gepubliceerd door de Linux Foundation met praktische aanbevelingen voor het organiseren van een veilig ontwikkelingsproces voor open source-projecten.
Het document behandelt de kwesties van het verdelen van rollen in het project, het creëren van teams die verantwoordelijk zijn voor de beveiliging, het definiëren van beveiligingsbeleid, het monitoren van de bevoegdheden die projectdeelnemers hebben, het correct gebruiken van Git bij het repareren van kwetsbaarheden om lekken te voorkomen voordat de oplossing wordt gepubliceerd, het definiëren van processen voor het reageren op rapporten van beveiligingsproblemen, implementatie van beveiligingstestsystemen, toepassing van codebeoordelingsprocedures, rekening houden met beveiligingsgerelateerde criteria bij het maken van releases.
Bron: opennet.ru