Fundação formada pela Linux Foundation , no qual empresas líderes uniram forças para apoiar projetos de código aberto em áreas-chave da indústria de informática, segundo estudo dentro do programa , com o objetivo de identificar projetos de código aberto que necessitam de auditorias de segurança prioritárias.
O segundo estudo concentra-se na análise de código-fonte aberto compartilhado usado implicitamente em vários projetos empresariais na forma de dependências baixadas de repositórios externos. Vulnerabilidades e comprometimento de desenvolvedores de componentes de terceiros envolvidos na operação de aplicativos (cadeia de suprimentos) podem anular todos os esforços para melhorar a proteção do produto principal. Como resultado do estudo foi Os 10 pacotes mais usados em JavaScript e Java, cuja segurança e facilidade de manutenção requerem atenção especial.
Bibliotecas JavaScript do repositório npm:
- (196 mil linhas de código, 11 autores, 7 committers, 11 questões em aberto);
- (3.8 mil linhas de código, 3 autores, 1 committer, 3 problemas não resolvidos);
- (317 linhas de código, 3 autores, 3 committers, 4 questões em aberto);
- (2 mil linhas de código, 11 autores, 11 committers, 3 problemas não resolvidos);
- (42 mil linhas de código, 28 autores, 2 committers, 30 questões em aberto);
- (1.2 mil linhas de código, 14 autores, 6 committers, 38 questões abertas);
- (3 mil linhas de código, 2 autores, 1 committer, sem problemas em aberto);
- (5.4 mil linhas de código, 5 autores, 2 committers, 41 questões em aberto);
- (28 mil linhas de código, 10 autores, 3 committers, 21 questões em aberto);
- (4.2 mil linhas de código, 4 autores, 3 committers, 2 questões em aberto).
Bibliotecas Java dos repositórios Maven:
- (74 mil linhas de código, 7 autores, 6 committers, 40 questões abertas);
- (74 mil linhas de código, 23 autores, 2 committers, 363 questões abertas);
- , bibliotecas do Google para Java (1 milhão de linhas de código, 83 autores, 3 committers, 620 questões abertas);
- (51 mil linhas de código, 3 autores, 3 committers, 29 questões abertas);
- (73 mil linhas de código, 10 autores, 6 committers, 148 questões abertas);
- (121 mil linhas de código, 16 autores, 8 committers, 47 questões em aberto);
- (131 mil linhas de código, 15 autores, 4 committers, 7 questões abertas);
- (154 mil linhas de código, 1 autor, 2 committers, 799 questões abertas);
- (168 mil linhas de código, 28 autores, 17 committers, 163 questões abertas);
- (38 mil linhas de código, 4 autores, 4 committers, 189 questões abertas);
O relatório também aborda questões de padronização do esquema de nomenclatura de componentes externos, proteção de contas de desenvolvedores e manutenção de versões legadas após lançamentos importantes. Publicado adicionalmente pela Linux Foundation com recomendações práticas para organizar um processo de desenvolvimento seguro para projetos de código aberto.
O documento aborda as questões de distribuição de papéis no projeto, criação de equipes responsáveis pela segurança, definição de políticas de segurança, monitoramento dos poderes que os participantes do projeto possuem, uso correto do Git na correção de vulnerabilidades para evitar vazamentos antes de publicar a correção, definição de processos para resposta a relatórios de problemas de segurança, implementação de sistemas de testes de segurança, aplicação de procedimentos de revisão de código, levando em consideração critérios relacionados à segurança na criação de releases.
Fonte: opennet.ru