Nadácia vytvorená Linux Foundation , v ktorej popredné korporácie spojili svoje sily na podporu open source projektov v kľúčových oblastiach počítačového priemyslu, druhé štúdium v rámci programu , zameraný na identifikáciu projektov s otvoreným zdrojovým kódom, ktoré potrebujú prioritné bezpečnostné audity.
Druhá štúdia sa zameriava na analýzu zdieľaného open source kódu implicitne používaného v rôznych podnikových projektoch vo forme závislostí stiahnutých z externých repozitárov. Zraniteľnosť a kompromitácia vývojárov komponentov tretích strán zapojených do prevádzky aplikácií (dodávateľského reťazca) môžu negovať všetky snahy o zlepšenie ochrany hlavného produktu. Výsledkom štúdie bolo 10 najčastejšie používaných balíkov v JavaScripte a Jave, ktorých bezpečnosť a udržiavateľnosť si vyžadujú osobitnú pozornosť.
Knižnice JavaScript z úložiska npm:
- (196 tisíc riadkov kódu, 11 autorov, 7 realizátorov, 11 otvorených čísel);
- (3.8 tisíc riadkov kódu, 3 autori, 1 autor, 3 nevyriešené problémy);
- (317 riadkov kódu, 3 autori, 3 autori, 4 otvorené čísla);
- (2 11 riadkov kódu, 11 autorov, 3 zadávateľov, XNUMX nevyriešené problémy);
- (42 tisíc riadkov kódu, 28 autorov, 2 tvorcovia, 30 otvorených čísel);
- (1.2 tisíc riadkov kódu, 14 autorov, 6 realizátorov, 38 otvorených čísel);
- (3 tisíc riadkov kódu, 2 autori, 1 autor, žiadne otvorené otázky);
- (5.4 tisíc riadkov kódu, 5 autorov, 2 tvorcovia, 41 otvorených čísel);
- (28 tisíc riadkov kódu, 10 autorov, 3 tvorcovia, 21 otvorených čísel);
- (4.2 tisíc riadkov kódu, 4 autori, 3 autori, 2 otvorené otázky).
Java knižnice z repozitárov Maven:
- (74 tisíc riadkov kódu, 7 autorov, 6 realizátorov, 40 otvorených čísel);
- (74 tisíc riadkov kódu, 23 autorov, 2 realizátorov, 363 otvorených čísel);
- , knižnice Google pre Javu (1 milión riadkov kódu, 83 autorov, 3 tvorcovia, 620 otvorených problémov);
- (51 tisíc riadkov kódu, 3 autori, 3 tvorcovia, 29 otvorených čísel);
- (73 tisíc riadkov kódu, 10 autorov, 6 realizátorov, 148 otvorených čísel);
- (121 tisíc riadkov kódu, 16 autorov, 8 realizátorov, 47 otvorených čísel);
- (131 tisíc riadkov kódu, 15 autorov, 4 tvorcovia, 7 otvorených čísel);
- (154 tisíc riadkov kódu, 1 autor, 2 tvorcovia, 799 otvorených čísel);
- (168 tisíc riadkov kódu, 28 autorov, 17 realizátorov, 163 otvorených čísel);
- (38 tisíc riadkov kódu, 4 autori, 4 tvorcovia, 189 otvorených čísel);
Správa sa zaoberá aj otázkami štandardizácie schémy pomenovania externých komponentov, ochrany vývojárskych účtov a udržiavania starších verzií po vydaní veľkých nových vydaní. Dodatočne publikované Linux Foundation s praktickými odporúčaniami pre organizáciu bezpečného vývojového procesu pre open source projekty.
Dokument sa zaoberá otázkami distribúcie rolí v projekte, vytváraním tímov zodpovedných za bezpečnosť, definovaním bezpečnostných politík, monitorovaním právomocí, ktoré majú účastníci projektu, správnym používaním Gitu pri oprave zraniteľností, aby sa predišlo únikom pred zverejnením opravy, definovaním procesov pre odpovedanie na správy problémov s bezpečnosťou, implementácia systémov testovania bezpečnosti, uplatňovanie procedúr na preskúmanie kódu, berúc do úvahy kritériá súvisiace s bezpečnosťou pri vytváraní verzií.
Zdroj: opennet.ru