ProHoster > Блог > интернет вести > Оцена библиотека које захтевају посебне безбедносне провере

Оцена библиотека које захтевају посебне безбедносне провере

Формирано током организације Linux Фондација Иницијатива за језгру инфраструктуре, у којој су водеће корпорације удружиле снаге да подрже пројекте отвореног кода у кључним областима рачунарске индустрије, потрошено друга студија у оквиру програма Ценсус, чији је циљ идентификовање пројеката отвореног кода којима су потребне приоритетне ревизије безбедности.

Друга студија се фокусира на анализу заједничког отвореног кода који се имплицитно користи у различитим пројектима предузећа у облику зависности преузетих из екстерних складишта. Рањивости и компромитовање програмера компоненти треће стране укључених у рад апликација (ланац снабдевања) могу поништити све напоре да се побољша заштита главног производа. Као резултат студије било је одређена 10 најчешће коришћених пакета у ЈаваСцрипт-у и Јави, чија безбедност и могућност одржавања захтевају посебну пажњу.

ЈаваСцрипт библиотеке из нпм спремишта:

  • асинц (196 хиљада редова кода, 11 аутора, 7 обвезника, 11 отворених бројева);
  • наслеђује (3.8 хиљада редова кода, 3 аутора, 1 извршилац, 3 нерешена проблема);
  • исарраи (317 редова кода, 3 аутора, 3 извршиоца, 4 отворена питања);
  • као (2 хиљаде редова кода, 11 аутора, 11 извршилаца, 3 нерешена проблема);
  • лодасх (42 хиљаде редова кода, 28 аутора, 2 обвезника, 30 отворених бројева);
  • минималистички (1.2 хиљаде редова кода, 14 аутора, 6 обвезника, 38 отворених питања);
  • домороци (3 хиљаде редова кода, 2 аутора, 1 извршилац, нема отворених питања);
  • qs (5.4 хиљаде редова кода, 5 аутора, 2 извршиоца, 41 отворено питање);
  • реадабле-стреам (28 хиљаде редова кода, 10 аутора, 3 извршиоца, 21 отворено питање);
  • стринг_децодер (4.2 хиљаде редова кода, 4 аутора, 3 извршиоца, 2 отворена броја).

Јава библиотеке из Мавен спремишта:

  • јацксон-цоре (74 хиљаде редова кода, 7 аутора, 6 обвезника, 40 отворених питања);
  • јацксон-датабинд (74 хиљаде редова кода, 23 аутора, 2 обвезника, 363 отворених питања);
  • гуава.гит, Гоогле библиотеке за Јаву (1 милион линија кода, 83 аутора, 3 извршиоца, 620 отворених питања);
  • цоммонс-цодец (51 хиљада редова кода, 3 аутора, 3 извршиоца, 29 отворених бројева);
  • цоммонс-ио (73 хиљаде редова кода, 10 аутора, 6 обвезника, 148 отворених питања);
  • хттпцомпонентс-цлиент (121 хиљада редова кода, 16 аутора, 8 обвезника, 47 отворених питања);
  • хттпцомпонентс-цоре (131 хиљада редова кода, 15 аутора, 4 извршиоца, 7 отворених бројева);
  • логбацк (154 хиљаде редова кода, 1 аутор, 2 извршиоца, 799 отворених питања);
  • цоммонс-ланг (168 хиљада редова кода, 28 аутора, 17 обвезника, 163 отворена питања);
  • слф4ј (38 хиљада редова кода, 4 аутора, 4 извршиоца, 189 отворених питања);

Извештај се такође бави питањима стандардизације шеме именовања за екстерне компоненте, заштите програмерских налога и одржавања старих верзија након великих нових издања. Поред тога, организација Linux Фондација је објавила документ са практичним препорукама за организовање безбедног процеса развоја за пројекте отвореног кода.

Документ се бави питањима расподеле улога у пројекту, креирањем тимова одговорних за безбедност, дефинисањем безбедносних политика, праћењем овлашћења које имају учесници у пројекту, правилном употребом Гита приликом поправљања рањивости како би се избегло цурење пре објављивања поправке, дефинисањем процеса за реаговање на извештаје проблема са безбедношћу, имплементацијом система за тестирање безбедности, применом процедура прегледа кода, узимајући у обзир безбедносне критеријуме приликом креирања издања.

Извор: опеннет.ру

Купите поуздан хостинг за сајтове са ДДоС заштитом, ВПС ВДС сервере 🔥 Купите поуздан веб хостинг са DDoS заштитом, VPS VDS сервере | ProHoster