OpenSSF (Open Source Security Foundation), utworzona przez Linux Foundation i mająca na celu poprawę bezpieczeństwa oprogramowania open source, opublikowała nową edycję badania Census II, którego celem jest identyfikacja projektów open source wymagających priorytetowych audytów bezpieczeństwa. Badanie koncentruje się na analizie współdzielonego kodu open source, który jest domyślnie wykorzystywany w różnych projektach korporacyjnych w postaci zależności pobieranych z zewnętrznych repozytoriów.
W rezultacie przygotowano listy 500 najczęściej używanych pakietów, których bezpieczeństwo i jakość utrzymania wymaga szczególnej uwagi, gdyż podatności i kompromisy twórców zewnętrznych komponentów zaangażowanych w działanie aplikacji (łańcuch dostaw) mogą negować wszelkie wysiłki mające na celu poprawę ochrony głównego produktu. W sumie dostępnych jest 8 opcji list, których zawartość jest uszeregowana w zależności od różnych kryteriów, takich jak dostarczenie do repozytorium NPM i obecność informacji o wersji przy określaniu zależności.
10 najczęściej używanych pakietów JavaScript z repozytorium NPM, pobieranych przez aplikacje bez przywiązania do wersji:
- lodasz
- zareagować
- aksjos
- debug
- @babel/rdzeń
- ekspresowy
- semwer
- uuid
- Reaguj
- jQuery
10 najczęściej używanych pakietów Pythona dystrybuowanych za pośrednictwem repozytorium pypi to:
- sześć
- pyyaml
- wywołań
- urllib3
- jinja2
- python-dateutil
- kliknij
- idna
- chardet
- bezpieczny dla znaczników
10 najczęściej używanych pakietów zależności Ruby dystrybuowanych za pośrednictwem repozytorium RubyGems to:
- nadmuchiwany zamek-java
- awssdk
- rajdowy rdzeń jaśminu
- aws-sdk
- nunita
- cscsl
- highcharts-js-rails
- antlr3
- rspec
- jak moje
10 najczęściej używanych zależności pakietów Java rozpowszechnianych za pośrednictwem repozytorium Maven to:
- org.slf4j:slf4j-api
- com.fasterxml.jackson.core:jackson-databind
- com.google.guava:guawa
- com.fasterxml.jackson.core:jackson-core
- org.springframework:spring-framework-bom
- com.fasterxml.jackson.core:jackson-adnotations
- commons-io:commons-io
- junit: junit
- org.apache.commons:commons-lang3
- kodek-commons:kodek-commons
10 najczęściej używanych pakietów zależności .NET dystrybuowanych za pośrednictwem repozytorium nuget to:
- json.net
- na facebooku
- modernizator
- newtonsoft.json
- zamek.core-log4net
- newtonsoft.json
- zamek.core-log4net
- częste zależności systemowe
- pamięć.caching.microsoft.extensions
- microsoft.extensions.dependentinjection.abstractions
10 najczęściej używanych pakietów zależności dystrybuowanych dla języka Go to:
- grpc/grpc-go
- kubernetes/klient-go
- kubernetes/apimachinery
- kubernetes/api
- rozciągnij/zeznaj
- kubernetes/klog
- pakiet/błędy
- spf13/kobra
- x/net
- prometeusz/klient_golang
Źródło: opennet.ru