ProHoster > Blog > internetne novice > Posodabljanje ocene knjižnic, ki zahtevajo posebne varnostne preglede

Posodabljanje ocene knjižnic, ki zahtevajo posebne varnostne preglede

OpenSSF (Open Source Security Foundation), ki ga je ustanovila Linux Foundation in je namenjena izboljšanju varnosti odprtokodne programske opreme, je objavila novo izdajo študije Census II, katere cilj je identificirati odprtokodne projekte, ki potrebujejo prednostne varnostne revizije. Študija se osredotoča na analizo skupne odprtokodne kode, ki se implicitno uporablja v različnih podjetniških projektih v obliki odvisnosti, prenesenih iz zunanjih repozitorijev.

Posledično so bili pripravljeni seznami 500 najpogosteje uporabljenih paketov, katerih varnost in kakovost vzdrževanja zahtevata posebno pozornost, saj lahko ranljivosti in ogroženost razvijalcev komponent tretjih oseb, ki sodelujejo pri delovanju aplikacij (oskrbovalne verige), zanikajo vsa prizadevanja za izboljšanje zaščite glavnega izdelka. Skupaj je na voljo 8 možnosti seznama, katerih vsebina je razvrščena glede na različne kriterije, kot je dostava v repozitorij NPM in prisotnost informacij o različici pri določanju odvisnosti.

10 najpogosteje uporabljenih paketov JavaScript iz repozitorija NPM, ki jih aplikacije prenesejo brez vezave na različico:

  • lodash
  • reagirajo
  • axios
  • debug
  • @babel/jedro
  • express
  • sejati
  • uuid
  • React-dom
  • jquery

10 najpogosteje uporabljenih paketov Python, distribuiranih prek repozitorija pypi, je:

  • šest
  • pyyaml
  • zahteva
  • urllib3
  • jinja2
  • python-dateutil
  • klik
  • idna
  • chardet
  • markupsafe

10 najpogosteje uporabljenih paketov odvisnosti Ruby, distribuiranih prek repozitorija RubyGems, je:

  • napihljivi-grad-java
  • awssdk
  • rally-jasmine-core
  • aws-sdk
  • nunit
  • cscsl
  • highcharts-js-rails
  • antlr3
  • rspec
  • asmin

10 najpogosteje uporabljenih odvisnosti paketov Java, distribuiranih prek repozitorija Maven, je:

  • org.slf4j:slf4j-api
  • com.fasterxml.jackson.core:jackson-databind
  • com.google.guava:guava
  • com.fasterxml.jackson.core:jackson-core
  • org.springframework:spring-framework-bom
  • com.fasterxml.jackson.core:jackson-opombe
  • Commons-io: Commons-io
  • junit:junit
  • org.apache.commons:commons-lang3
  • skupni kodek: skupni kodek

10 najpogosteje uporabljenih paketov odvisnosti .NET, distribuiranih prek repozitorija nuget, je:

  • json.net
  • facebook
  • modernizr
  • newtonsoft.json
  • castle.core-log4net
  • newtonsoft.json
  • castle.core-log4net
  • freqsystemdependencies
  • microsoft.extensions.caching.memory
  • microsoft.extensions.dependencyinjection.abstractions

10 najpogosteje uporabljenih paketov odvisnosti, distribuiranih za jezik Go, je:

  • grpc/grpc-go
  • kubernetes/client-go
  • kubernetes/apimachinery
  • kubernetes/api
  • stretchr/pričati
  • kubernetes/klog
  • pkg/napake
  • spf13/kobra
  • x/net
  • prometheus/client_golang

Vir: opennet.ru

Dodaj komentar