Vlerësimi i bibliotekave që kërkojnë kontrolle të veçanta sigurie

Fondacioni i formuar nga Fondacioni Linux Iniciativa për Infrastrukturën Themelore, në të cilën korporatat kryesore bashkuan forcat për të mbështetur projekte me burim të hapur në fushat kryesore të industrisë kompjuterike, shpenzuar studimi i dytë në kuadër të programit Census, që synon identifikimin e projekteve me burim të hapur që kanë nevojë për auditime prioritare të sigurisë.

Studimi i dytë fokusohet në analizën e kodit të përbashkët me burim të hapur të përdorur në mënyrë implicite në projekte të ndryshme të ndërmarrjeve në formën e varësive të shkarkuara nga depo të jashtme. Dobësitë dhe kompromisi i zhvilluesve të komponentëve të palëve të treta të përfshirë në funksionimin e aplikacioneve (zinxhiri i furnizimit) mund të mohojnë të gjitha përpjekjet për të përmirësuar mbrojtjen e produktit kryesor. Si rezultat i studimit ishte të vendosur 10 paketat më të përdorura në JavaScript dhe Java, siguria dhe mirëmbajtja e të cilave kërkojnë vëmendje të veçantë.

Bibliotekat JavaScript nga depoja npm:

• async (196 mijë rreshta kodi, 11 autorë, 7 komitues, 11 çështje të hapura);
• trashëgon (3.8 mijë rreshta kodi, 3 autorë, 1 komiter, 3 probleme të pazgjidhura);
• grupim (317 rreshta kodi, 3 autorë, 3 komitues, 4 çështje të hapura);
• lloj-i (2 mijë rreshta kodi, 11 autorë, 11 kryerës, 3 probleme të pazgjidhura);
• lodash (42 mijë rreshta kodi, 28 autorë, 2 komitete, 30 çështje të hapura);
• minimalist (1.2 mijë rreshta kodi, 14 autorë, 6 komitues, 38 çështje të hapura);
• vendasit (3 mijë rreshta kodi, 2 autorë, 1 komiter, pa çështje të hapura);
• qs (5.4 mijë rreshta kodi, 5 autorë, 2 komitera, 41 çështje të hapura);
• lexueshëm-stream (28 mijë rreshta kodi, 10 autorë, 3 komitera, 21 çështje të hapura);
• string_dekoder (4.2 mijë rreshta kodi, 4 autorë, 3 komitera, 2 çështje të hapura).

Bibliotekat Java nga depot e Maven:

• jackson-core (74 mijë rreshta kodi, 7 autorë, 6 komitues, 40 çështje të hapura);
• jackson-database (74 mijë rreshta kodi, 23 autorë, 2 komitues, 363 çështje të hapura);
• guava.git, bibliotekat e Google për Java (1 milion rreshta kodi, 83 autorë, 3 komitera, 620 çështje të hapura);
• Commons-codec (51 mijë rreshta kodi, 3 autorë, 3 komitera, 29 çështje të hapura);
• commons-io (73 mijë rreshta kodi, 10 autorë, 6 komitues, 148 çështje të hapura);
• httpcomponents-klient (121 mijë rreshta kodi, 16 autorë, 8 komitues, 47 çështje të hapura);
• httpcomponents-core (131 mijë rreshta kodi, 15 autorë, 4 komitues, 7 çështje të hapura);
• logback (154 mijë rreshta kodi, 1 autor, 2 komitera, 799 çështje të hapura);
• gjuhën e zakonshme (168 mijë rreshta kodi, 28 autorë, 17 komitues, 163 çështje të hapura);
• slf4j (38 mijë rreshta kodi, 4 autorë, 4 komitues, 189 çështje të hapura);

Raporti trajton gjithashtu çështjet e standardizimit të skemës së emërtimit të komponentëve të jashtëm, mbrojtjes së llogarive të zhvilluesve dhe ruajtjes së versioneve të vjetra pas publikimeve të reja të mëdha. Publikuar gjithashtu nga Fondacioni Linux dokumenti me rekomandime praktike për organizimin e një procesi të sigurt zhvillimi për projektet me kod të hapur.

Dokumenti trajton çështjet e shpërndarjes së roleve në projekt, krijimin e ekipeve përgjegjëse për sigurinë, përcaktimin e politikave të sigurisë, monitorimin e fuqive që kanë pjesëmarrësit e projektit, përdorimin e saktë të Git kur rregullojnë dobësitë për të shmangur rrjedhjet përpara publikimit të rregullimit, përcaktimin e proceseve për t'iu përgjigjur raporteve i problemeve me sigurinë, zbatimi i sistemeve të testimit të sigurisë, aplikimi i procedurave të rishikimit të kodit, duke marrë parasysh kriteret që lidhen me sigurinë gjatë krijimit të publikimeve.

Burimi: opennet.ru