Фондација коју је формирала Линук фондација , у којој су водеће корпорације удружиле снаге да подрже пројекте отвореног кода у кључним областима рачунарске индустрије, друга студија у оквиру програма , чији је циљ идентификовање пројеката отвореног кода којима су потребне приоритетне ревизије безбедности.
Друга студија се фокусира на анализу заједничког отвореног кода који се имплицитно користи у различитим пројектима предузећа у облику зависности преузетих из екстерних складишта. Рањивости и компромитовање програмера компоненти треће стране укључених у рад апликација (ланац снабдевања) могу поништити све напоре да се побољша заштита главног производа. Као резултат студије било је 10 најчешће коришћених пакета у ЈаваСцрипт-у и Јави, чија безбедност и могућност одржавања захтевају посебну пажњу.
ЈаваСцрипт библиотеке из нпм спремишта:
- (196 хиљада редова кода, 11 аутора, 7 обвезника, 11 отворених бројева);
- (3.8 хиљада редова кода, 3 аутора, 1 извршилац, 3 нерешена проблема);
- (317 редова кода, 3 аутора, 3 извршиоца, 4 отворена питања);
- (2 хиљаде редова кода, 11 аутора, 11 извршилаца, 3 нерешена проблема);
- (42 хиљаде редова кода, 28 аутора, 2 обвезника, 30 отворених бројева);
- (1.2 хиљаде редова кода, 14 аутора, 6 обвезника, 38 отворених питања);
- (3 хиљаде редова кода, 2 аутора, 1 извршилац, нема отворених питања);
- (5.4 хиљаде редова кода, 5 аутора, 2 извршиоца, 41 отворено питање);
- (28 хиљаде редова кода, 10 аутора, 3 извршиоца, 21 отворено питање);
- (4.2 хиљаде редова кода, 4 аутора, 3 извршиоца, 2 отворена броја).
Јава библиотеке из Мавен спремишта:
- (74 хиљаде редова кода, 7 аутора, 6 обвезника, 40 отворених питања);
- (74 хиљаде редова кода, 23 аутора, 2 обвезника, 363 отворених питања);
- , Гоогле библиотеке за Јаву (1 милион линија кода, 83 аутора, 3 извршиоца, 620 отворених питања);
- (51 хиљада редова кода, 3 аутора, 3 извршиоца, 29 отворених бројева);
- (73 хиљаде редова кода, 10 аутора, 6 обвезника, 148 отворених питања);
- (121 хиљада редова кода, 16 аутора, 8 обвезника, 47 отворених питања);
- (131 хиљада редова кода, 15 аутора, 4 извршиоца, 7 отворених бројева);
- (154 хиљаде редова кода, 1 аутор, 2 извршиоца, 799 отворених питања);
- (168 хиљада редова кода, 28 аутора, 17 обвезника, 163 отворена питања);
- (38 хиљада редова кода, 4 аутора, 4 извршиоца, 189 отворених питања);
Извештај се такође бави питањима стандардизације шеме именовања спољних компоненти, заштите налога програмера и одржавања застарелих верзија након великих нових издања. Додатно објавила Линук фондација са практичним препорукама за организовање безбедног процеса развоја за пројекте отвореног кода.
Документ се бави питањима расподеле улога у пројекту, креирањем тимова одговорних за безбедност, дефинисањем безбедносних политика, праћењем овлашћења које имају учесници у пројекту, правилном употребом Гита приликом поправљања рањивости како би се избегло цурење пре објављивања поправке, дефинисањем процеса за реаговање на извештаје проблема са безбедношћу, имплементацијом система за тестирање безбедности, применом процедура прегледа кода, узимајући у обзир безбедносне критеријуме приликом креирања издања.
Извор: опеннет.ру