OpenSSF (Open Source Security Foundation), ktorú vytvorila Linux Foundation a ktorej cieľom je zlepšiť bezpečnosť softvéru s otvoreným zdrojovým kódom, zverejnila nové vydanie štúdie Census II zameranú na identifikáciu projektov s otvoreným zdrojovým kódom, ktoré potrebujú prioritné bezpečnostné audity. Štúdia sa zameriava na analýzu zdieľaného open source kódu, ktorý sa implicitne používa v rôznych podnikových projektoch vo forme závislostí stiahnutých z externých úložísk.
V dôsledku toho boli pripravené zoznamy 500 najčastejšie používaných balíkov, ktorých bezpečnosť a kvalita údržby si vyžaduje osobitnú pozornosť, pretože zraniteľné miesta a kompromisy vývojárov komponentov tretích strán zapojených do prevádzky aplikácií (dodávateľského reťazca) môžu zrušiť všetky snahy o zlepšenie ochrany hlavného produktu. Celkovo je k dispozícii 8 možností zoznamu, ktorých obsah je zoradený v závislosti od rôznych kritérií, ako je doručenie v úložisku NPM a prítomnosť informácií o verzii pri určovaní závislostí.
10 najčastejšie používaných balíčkov JavaScript z úložiska NPM, ktoré si sťahujú aplikácie bez toho, aby boli viazané na verziu:
- lodash
- reagovať
- Axios
- ladiť
- @babel/core
- expresné
- zasiať
- uuid
- reagovať-dom
- jQuery
10 najčastejšie používaných balíkov Python distribuovaných prostredníctvom úložiska pypi je:
- šesť
- pyyaml
- Žiadosti
- urllib3
- jinja2
- python-dateutil
- cvaknutie
- idna
- chardet
- markupsafe
10 najčastejšie používaných balíkov závislostí Ruby distribuovaných prostredníctvom úložiska RubyGems sú:
- skákací hrad-java
- awssdk
- rally-jasmine-core
- aws-sdk
- mníška
- cscsl
- highcharts-js-rails
- antlr3
- rspec
- asmine
10 najčastejšie používaných závislostí balíkov Java distribuovaných prostredníctvom úložiska Maven:
- org.slf4j:slf4j-api
- com.fasterxml.jackson.core:jackson-databind
- com.google.guava:guava
- com.fasterxml.jackson.core:jackson-core
- org.springframework:spring-framework-bom
- com.fasterxml.jackson.core:jackson-anotations
- commons-io:commons-io
- junit: junit
- org.apache.commons:commons-lang3
- commons-codec:commons-codec
10 najčastejšie používaných balíkov závislostí .NET distribuovaných prostredníctvom úložiska nuget:
- json.net
- modernizované
- newtonsoft.json
- castle.core-log4net
- newtonsoft.json
- castle.core-log4net
- závislosti frekvenčného systému
- microsoft.extensions.caching.memory
- microsoft.extensions.dependencyinjection.abstractions
10 najčastejšie používaných balíkov závislostí distribuovaných pre jazyk Go je:
- grpc/grpc-go
- kubernetes/client-go
- kubernetes/apimachinery
- kubernetes/api
- nosidlá/svedčiť
- kubernetes/klog
- bal./chyby
- spf13/kobra
- x/net
- prometheus/client_golang
Zdroj: opennet.ru