ProHoster > Log > Internett-nyheter > Rangering av biblioteker som krever spesielle sikkerhetskontroller

Rangering av biblioteker som krever spesielle sikkerhetskontroller

Foundation dannet av Linux Foundation Core Infrastructure Initiative, der ledende selskaper gikk sammen for å støtte åpen kildekode-prosjekter i nøkkelområder i dataindustrien, brukt andre studie i programmet Census, rettet mot å identifisere åpen kildekode-prosjekter som trenger prioriterte sikkerhetsrevisjoner.

Den andre studien fokuserer på analysen av delt åpen kildekode som implisitt brukes i ulike bedriftsprosjekter i form av avhengigheter lastet ned fra eksterne depoter. Sårbarheter og kompromisser fra utviklere av tredjepartskomponenter som er involvert i driften av applikasjoner (forsyningskjeden) kan oppheve alle anstrengelser for å forbedre beskyttelsen av hovedproduktet. Som et resultat av studien var det helt sikkert De 10 mest brukte pakkene i JavaScript og Java, hvis sikkerhet og vedlikehold krever spesiell oppmerksomhet.

JavaScript-biblioteker fra npm-depot:

  • async (196 tusen linjer med kode, 11 forfattere, 7 formidlere, 11 åpne utgaver);
  • arver (3.8 tusen linjer med kode, 3 forfattere, 1 committer, 3 uløste problemer);
  • isarray (317 linjer med kode, 3 forfattere, 3 committers, 4 åpne utgaver);
  • på en måte (2 tusen linjer med kode, 11 forfattere, 11 formidlere, 3 uløste problemer);
  • lodash (42 tusen linjer med kode, 28 forfattere, 2 formidlere, 30 åpne utgaver);
  • minimalistisk (1.2 tusen linjer med kode, 14 forfattere, 6 formidlere, 38 åpne utgaver);
  • innfødte (3 tusen linjer med kode, 2 forfattere, 1 committer, ingen åpne problemer);
  • qs (5.4 tusen linjer med kode, 5 forfattere, 2 committers, 41 åpne utgaver);
  • lesbar strøm (28 tusen linjer med kode, 10 forfattere, 3 committers, 21 åpne utgaver);
  • streng_dekoder (4.2 tusen linjer med kode, 4 forfattere, 3 formidlere, 2 åpne utgaver).

Java-biblioteker fra Maven-depoter:

  • jackson-kjerne (74 tusen linjer med kode, 7 forfattere, 6 formidlere, 40 åpne utgaver);
  • jackson-databind (74 tusen linjer med kode, 23 forfattere, 2 formidlere, 363 åpne utgaver);
  • guava.git, Google-biblioteker for Java (1 million linjer med kode, 83 forfattere, 3 committers, 620 åpne utgaver);
  • commons-kodek (51 tusen linjer med kode, 3 forfattere, 3 formidlere, 29 åpne utgaver);
  • commons-io (73 tusen linjer med kode, 10 forfattere, 6 formidlere, 148 åpne utgaver);
  • httpcomponents-klient (121 tusen linjer med kode, 16 forfattere, 8 formidlere, 47 åpne utgaver);
  • httpcomponents-core (131 tusen linjer med kode, 15 forfattere, 4 formidlere, 7 åpne utgaver);
  • tilbakekobling (154 tusen linjer med kode, 1 forfatter, 2 committers, 799 åpne utgaver);
  • commons-lang (168 tusen linjer med kode, 28 forfattere, 17 formidlere, 163 åpne utgaver);
  • slf4j (38 tusen linjer med kode, 4 forfattere, 4 formidlere, 189 åpne utgaver);

Rapporten tar også for seg problemer med standardisering av navneskjemaet til eksterne komponenter, beskyttelse av utviklerkontoer og vedlikehold av eldre versjoner etter store nye utgivelser. I tillegg utgitt av Linux Foundation dokument med praktiske anbefalinger for å organisere en sikker utviklingsprosess for åpen kildekode-prosjekter.

Dokumentet tar for seg problemene med å distribuere roller i prosjektet, opprette team som er ansvarlige for sikkerhet, definere sikkerhetspolicyer, overvåke kreftene som prosjektdeltakere har, riktig bruk av Git når de fikser sårbarheter for å unngå lekkasjer før publisering av rettelsen, definere prosesser for å svare på rapporter av problemer med sikkerhet, implementering av sikkerhetstestsystemer, anvendelse av prosedyrer for gjennomgang av kode, ta hensyn til sikkerhetsrelaterte kriterier ved opprettelse av utgivelser.

Kilde: opennet.ru

Legg til en kommentar