ProHoster > Blog > internetnieuws > Derde editie van de beoordeling van bibliotheken die speciale veiligheidscontroles vereisen

Derde editie van de beoordeling van bibliotheken die speciale veiligheidscontroles vereisen

Organisatie Linux De stichting heeft in samenwerking met het Harvard Science Innovation Lab een nieuwe editie van het Census III-onderzoek opgesteld. Dit onderzoek is gericht op het identificeren van de meest gebruikte open-sourceprojecten die prioritaire beveiligingsaudits vereisen. Het onderzoek analyseerde gedeelde open-sourcecode die impliciet wordt gebruikt in diverse bedrijfsprojecten als afhankelijkheden die worden gedownload van externe repositories. In totaal werden meer dan 12 miljoen open-sourcebibliotheken geanalyseerd die worden gebruikt in applicaties van 10 verschillende bedrijven.

Op basis van de verzamelde statistieken zijn lijsten samengesteld van de 500 meest gebruikte bibliotheken, waarvan de veiligheid en kwaliteit van het onderhoud speciale aandacht vereisen, aangezien kwetsbaarheden en compromissen van externe afhankelijkheidsontwikkelaars alle inspanningen om de bescherming van de bibliotheken te verbeteren teniet kunnen doen. hoofdproduct. Er worden in totaal 8 lijsten aangeboden, waarvan de inhoud wordt gerangschikt op basis van verschillende criteria, zoals levering in de NPM-repository en de aanwezigheid van versie-informatie bij het bepalen van afhankelijkheden.

Enkele conclusies:

  • 17% van de top 50 projecten die niet in de NPM-repository zijn vertegenwoordigd, heeft slechts één ontwikkelaar, en 40% heeft een of twee ontwikkelaars die 80% van de commits hebben gedaan.
  • Vergeleken met het vorige rapport uit 2022 is het gebruik van pakketten voor interactie met clouddiensten bij belangrijke pakketten toegenomen.
  • De migratie van projecten van Python 2 naar Python 3 gaat door.
  • Maven-pakketten blijven populair en het gebruik van pakketten uit de PIP (Python), Cargo (Rust) en NuGet (.NET) repositories groeit.
  • Net als voorheen is het nodig om gestandaardiseerde naamgevingsschema's voor softwarecomponenten te gebruiken.
  • Het belang van het beschermen van ontwikkelaarsaccounts is toegenomen. Veel van de meest populaire pakketten worden gehost onder de accounts van specifieke ontwikkelaars, die minder veilig zijn dan de accounts van organisaties die voor het project zijn gemaakt.
  • De 20 meest gebruikte JavaScript-pakketten uit de NPM-repository, gedownload door applicaties zonder gebonden te zijn aan de versie:
    Derde editie van de beoordeling van bibliotheken die speciale veiligheidscontroles vereisen
  • De 20 meest gebruikte pakketten uit niet-NPM-repository's die door applicaties worden gedownload zonder aan een versie te zijn gebonden:
    Derde editie van de beoordeling van bibliotheken die speciale veiligheidscontroles vereisen

Bron: opennet.ru

Koop betrouwbare hosting voor sites met DDoS-bescherming, VPS VDS-servers 🔥 Koop betrouwbare websitehosting met DDoS-bescherming, VPS- en VDS-servers | ProHoster