ProHoster > Blog > internetne novice > Ocena knjižnic, ki zahtevajo posebne varnostne preglede

Ocena knjižnic, ki zahtevajo posebne varnostne preglede

Foundation ustanovila Linux Foundation Pobuda za temeljno infrastrukturo, v katerem so vodilne korporacije združile moči za podporo odprtokodnih projektov na ključnih področjih računalniške industrije, porabil drugi študij v okviru programa Popis, namenjen prepoznavanju odprtokodnih projektov, ki potrebujejo prednostne varnostne revizije.

Druga študija se osredotoča na analizo skupne odprtokodne kode, ki se implicitno uporablja v različnih podjetniških projektih v obliki odvisnosti, prenesenih iz zunanjih repozitorijev. Ranljivosti in ogroženost razvijalcev komponent tretjih oseb, ki sodelujejo pri delovanju aplikacij (oskrbovalna veriga), lahko izničijo vsa prizadevanja za izboljšanje zaščite glavnega izdelka. Kot rezultat študije je bilo zagotovo 10 najpogosteje uporabljenih paketov v JavaScriptu in Javi, katerih varnost in vzdržljivost zahtevata posebno pozornost.

Knjižnice JavaScript iz repozitorija npm:

  • asinhroniziranje (196 tisoč vrstic kode, 11 avtorjev, 7 izdajateljev, 11 odprtih vprašanj);
  • podeduje (3.8 tisoč vrstic kode, 3 avtorji, 1 pošiljatelj, 3 nerešene težave);
  • isarray (317 vrstic kode, 3 avtorji, 3 avtorji, 4 odprte težave);
  • recimo (2 tisoč vrstic kode, 11 avtorjev, 11 komiterjev, 3 nerešene težave);
  • lodash (42 tisoč vrstic kode, 28 avtorjev, 2 komitatorja, 30 odprtih vprašanj);
  • minimalist (1.2 tisoč vrstic kode, 14 avtorjev, 6 komitatorjev, 38 odprtih vprašanj);
  • domorodci (3 tisoč vrstic kode, 2 avtorja, 1 pošiljatelj, brez odprtih vprašanj);
  • qs (5.4 tisoč vrstic kode, 5 avtorjev, 2 komitorja, 41 odprtih vprašanj);
  • berljiv-tok (28 tisoč vrstic kode, 10 avtorjev, 3 komitorja, 21 odprtih vprašanj);
  • dekoder_niza (4.2 tisoč vrstic kode, 4 avtorji, 3 izdajatelji, 2 odprti vprašanji).

Knjižnice Java iz skladišč Maven:

  • jackson-core (74 tisoč vrstic kode, 7 avtorjev, 6 komitatorjev, 40 odprtih vprašanj);
  • jackson-databind (74 tisoč vrstic kode, 23 avtorjev, 2 komitatorjev, 363 odprtih vprašanj);
  • guava.git, Googlove knjižnice za Javo (1 milijon vrstic kode, 83 avtorjev, 3 pošiljatelji, 620 odprtih vprašanj);
  • Commons-codec (51 tisoč vrstic kode, 3 avtorji, 3 izdajatelji, 29 odprtih vprašanj);
  • Commons-io (73 tisoč vrstic kode, 10 avtorjev, 6 komitatorjev, 148 odprtih vprašanj);
  • httpcomponents-client (121 tisoč vrstic kode, 16 avtorjev, 8 komitatorjev, 47 odprtih vprašanj);
  • httpcomponents-core (131 tisoč vrstic kode, 15 avtorjev, 4 komitatorji, 7 odprtih vprašanj);
  • prijava nazaj (154 tisoč vrstic kode, 1 avtor, 2 komitorja, 799 odprtih vprašanj);
  • Commons-lang (168 tisoč vrstic kode, 28 avtorjev, 17 komitatorjev, 163 odprtih vprašanj);
  • slf4j (38 tisoč vrstic kode, 4 avtorji, 4 izdajatelji, 189 odprtih vprašanj);

Poročilo obravnava tudi vprašanja standardizacije sheme poimenovanja zunanjih komponent, zaščite računov razvijalcev in vzdrževanja podedovanih različic po večjih novih izdajah. Poleg tega ga je objavila Fundacija Linux Dokument s praktičnimi priporočili za organizacijo varnega razvojnega procesa za odprtokodne projekte.

Dokument obravnava vprašanja porazdelitve vlog v projektu, ustvarjanje ekip, odgovornih za varnost, definiranje varnostnih politik, spremljanje pooblastil, ki jih imajo udeleženci projekta, pravilno uporabo Gita pri odpravljanju ranljivosti, da se izognete uhajanju pred objavo popravka, definiranje procesov za odzivanje na poročila problemov z varnostjo, implementacija sistemov varnostnega testiranja, uporaba postopkov pregleda kode, upoštevanje varnostnih kriterijev pri kreiranju izdaj.

Vir: opennet.ru

Dodaj komentar