ProHoster > Log > Internett-nyheter > Oppdatering av rangeringen av biblioteker som krever spesielle sikkerhetskontroller

Oppdatering av rangeringen av biblioteker som krever spesielle sikkerhetskontroller

OpenSSF (Open Source Security Foundation), dannet av Linux Foundation og har som mål å forbedre sikkerheten til åpen kildekode-programvare, har publisert en ny utgave av Census II-studien, med sikte på å identifisere åpen kildekode-prosjekter som trenger prioriterte sikkerhetsrevisjoner. Studien fokuserer på analyse av delt åpen kildekode som implisitt brukes i ulike bedriftsprosjekter i form av avhengigheter lastet ned fra eksterne depoter.

Som et resultat er det utarbeidet lister over de 500 mest brukte pakkene, hvis sikkerhet og kvalitet på vedlikehold krever spesiell oppmerksomhet, siden sårbarheter og kompromittering av utviklere av tredjepartskomponenter som er involvert i driften av applikasjoner (forsyningskjeden) kan oppheve alle anstrengelser for å forbedre beskyttelsen av hovedproduktet. Det er totalt 8 listealternativer, hvis innhold er rangert avhengig av ulike kriterier, for eksempel levering i NPM-depotet og tilstedeværelsen av versjonsinformasjon ved fastsettelse av avhengigheter.

De 10 mest brukte JavaScript-pakkene fra NPM-depotet, lastet ned av applikasjoner uten å være knyttet til versjon:

  • lodash
  • reagere
  • Axios
  • feilsøke
  • @babel/kjerne
  • ekspress
  • purke
  • uuid
  • reagere-dom
  • jquery

De 10 mest brukte Python-pakkene distribuert gjennom pypi-depotet er:

  • seks
  • pyyaml
  • forespørsler
  • urllib3
  • jinja2
  • python-dateutil
  • klikk
  • idna
  • chardet
  • markupsafe

De 10 mest brukte Ruby-avhengighetspakkene distribuert gjennom RubyGems-depotet er:

  • hoppeslott-java
  • awssdk
  • rally-jasmin-kjerne
  • aws-sdk
  • nonne
  • cscsl
  • highcharts-js-skinner
  • antlr3
  • rspec
  • asmine

De 10 mest brukte Java-pakkeavhengighetene distribuert gjennom Maven-depotet er:

  • org.slf4j:slf4j-api
  • com.fasterxml.jackson.core:jackson-databind
  • com.google.guava:guava
  • com.fasterxml.jackson.core:jackson-core
  • org.springframework:spring-framework-bom
  • com.fasterxml.jackson.core:jackson-annotations
  • commons-io: commons-io
  • junit:junit
  • org.apache.commons:commons-lang3
  • commons-codec:commons-codec

De 10 mest brukte .NET-avhengighetspakkene distribuert gjennom nuget-depotet er:

  • json.net
  • facebook
  • moderne
  • newtonsoft.json
  • castle.core-log4net
  • newtonsoft.json
  • castle.core-log4net
  • freqsystemavhengigheter
  • microsoft.extensions.caching.minne
  • microsoft.extensions.dependencyinjection.abstraksjoner

De 10 mest brukte avhengighetspakkene distribuert for Go-språket er:

  • grpc/grpc-go
  • kubernetes/client-go
  • kubernetes/apimaskineri
  • kubernetes/api
  • båre/vitne
  • kubernetes/klog
  • pkg/feil
  • spf13/kobra
  • x/nett
  • prometheus/client_golang

Kilde: opennet.ru

Legg til en kommentar