OpenSSF (Open Source Security Foundation), dannet av Linux Foundation og har som mål å forbedre sikkerheten til åpen kildekode-programvare, har publisert en ny utgave av Census II-studien, med sikte på å identifisere åpen kildekode-prosjekter som trenger prioriterte sikkerhetsrevisjoner. Studien fokuserer på analyse av delt åpen kildekode som implisitt brukes i ulike bedriftsprosjekter i form av avhengigheter lastet ned fra eksterne depoter.
Som et resultat er det utarbeidet lister over de 500 mest brukte pakkene, hvis sikkerhet og kvalitet på vedlikehold krever spesiell oppmerksomhet, siden sårbarheter og kompromittering av utviklere av tredjepartskomponenter som er involvert i driften av applikasjoner (forsyningskjeden) kan oppheve alle anstrengelser for å forbedre beskyttelsen av hovedproduktet. Det er totalt 8 listealternativer, hvis innhold er rangert avhengig av ulike kriterier, for eksempel levering i NPM-depotet og tilstedeværelsen av versjonsinformasjon ved fastsettelse av avhengigheter.
De 10 mest brukte JavaScript-pakkene fra NPM-depotet, lastet ned av applikasjoner uten å være knyttet til versjon:
- lodash
- reagere
- Axios
- feilsøke
- @babel/kjerne
- ekspress
- purke
- uuid
- reagere-dom
- jquery
De 10 mest brukte Python-pakkene distribuert gjennom pypi-depotet er:
- seks
- pyyaml
- forespørsler
- urllib3
- jinja2
- python-dateutil
- klikk
- idna
- chardet
- markupsafe
De 10 mest brukte Ruby-avhengighetspakkene distribuert gjennom RubyGems-depotet er:
- hoppeslott-java
- awssdk
- rally-jasmin-kjerne
- aws-sdk
- nonne
- cscsl
- highcharts-js-skinner
- antlr3
- rspec
- asmine
De 10 mest brukte Java-pakkeavhengighetene distribuert gjennom Maven-depotet er:
- org.slf4j:slf4j-api
- com.fasterxml.jackson.core:jackson-databind
- com.google.guava:guava
- com.fasterxml.jackson.core:jackson-core
- org.springframework:spring-framework-bom
- com.fasterxml.jackson.core:jackson-annotations
- commons-io: commons-io
- junit:junit
- org.apache.commons:commons-lang3
- commons-codec:commons-codec
De 10 mest brukte .NET-avhengighetspakkene distribuert gjennom nuget-depotet er:
- json.net
- moderne
- newtonsoft.json
- castle.core-log4net
- newtonsoft.json
- castle.core-log4net
- freqsystemavhengigheter
- microsoft.extensions.caching.minne
- microsoft.extensions.dependencyinjection.abstraksjoner
De 10 mest brukte avhengighetspakkene distribuert for Go-språket er:
- grpc/grpc-go
- kubernetes/client-go
- kubernetes/apimaskineri
- kubernetes/api
- båre/vitne
- kubernetes/klog
- pkg/feil
- spf13/kobra
- x/nett
- prometheus/client_golang
Kilde: opennet.ru