ProHoster > Blog > warta internét > Peunteun perpustakaan anu peryogi pamariksaan kaamanan khusus

Peunteun perpustakaan anu peryogi pamariksaan kaamanan khusus

Yayasan dibentuk ku Yayasan Linux Inisiatif Infrastruktur Inti, dimana korporasi ngarah ngagabung kakuatan pikeun ngarojong proyék open source di wewengkon konci industri komputer, dibalanjakeun ulikan kadua dina program sensus, aimed di identifying proyék open source nu peryogi audits kaamanan prioritas.

Ulikan kadua museurkeun kana analisis kode open source dibagikeun implisit dipaké dina sagala rupa proyék perusahaan dina bentuk kagumantungan diundeur ti repositories éksternal. Kerentanan sareng kompromi pamekar komponén pihak katilu aub dina operasi aplikasi (ranté suplai) tiasa negate sadaya usaha pikeun ningkatkeun panangtayungan produk utama. Salaku hasil ulikan éta didefinisikeun 10 bungkusan anu paling sering dianggo dina JavaScript sareng Java, kaamanan sareng perawatan anu peryogi perhatian khusus.

Perpustakaan JavaScript tina repositori npm:

  • async (196 rébu garis kode, 11 pangarang, 7 committers, 11 isu kabuka);
  • warisan (3.8 rébu baris kode, 3 pangarang, 1 committer, 3 masalah teu kajawab);
  • isarray (317 garis kode, 3 pangarang, 3 committers, 4 isu kabuka);
  • sapertos (2 sarébu baris kode, 11 pangarang, 11 committers, 3 masalah teu kajawab);
  • pamondokan (42 rébu garis kode, 28 pangarang, 2 committers, 30 isu kabuka);
  • minimalis (1.2 sarébu garis kode, 14 pangarang, 6 committers, 38 isu kabuka);
  • pribumi (3 sarébu garis kode, 2 pangarang, 1 committer, euweuh isu kabuka);
  • qs (5.4 sarébu garis kode, 5 pangarang, 2 committers, 41 isu kabuka);
  • bisa dibaca-stream (28 sarébu garis kode, 10 pangarang, 3 committers, 21 isu kabuka);
  • string_decoder (4.2 rébu garis kode, 4 pangarang, 3 committers, 2 isu kabuka).

Pustaka Java ti repositori Maven:

  • jackson-inti (74 sarébu garis kode, 7 pangarang, 6 committers, 40 isu kabuka);
  • jackson-databind (74 sarébu garis kode, 23 pangarang, 2 committers, 363 isu kabuka);
  • jambu.git, perpustakaan Google pikeun Java (1 juta baris kode, 83 pangarang, 3 committers, 620 isu kabuka);
  • commons-codec (51 rébu garis kode, 3 pangarang, 3 committers, 29 isu kabuka);
  • commons-io (73 sarébu garis kode, 10 pangarang, 6 committers, 148 isu kabuka);
  • httpkomponén-klien (121 sarébu garis kode, 16 pangarang, 8 committers, 47 isu kabuka);
  • http komponén-inti (131 sarébu garis kode, 15 pangarang, 4 committers, 7 isu kabuka);
  • balik deui (154 rébu garis kode, 1 pangarang, 2 committers, 799 isu kabuka);
  • commons-lang (168 rébu garis kode, 28 pangarang, 17 committers, 163 isu kabuka);
  • slf4j (38 rébu garis kode, 4 pangarang, 4 committers, 189 isu kabuka);

Laporan éta ogé ngabahas masalah standarisasi skéma penamaan komponén éksternal, ngajagi akun pamekar, sareng ngajaga versi warisan saatos sékrési énggal didamel. Sajaba diterbitkeun ku Linux Foundation dokumenna kalawan saran praktis pikeun ngatur hiji prosés ngembangkeun aman pikeun proyék open source.

Dokumén éta ngabahas masalah nyebarkeun peran dina proyék, nyiptakeun tim anu tanggung jawab pikeun kaamanan, netepkeun kawijakan kaamanan, ngawaskeun kakuatan anu dipiboga ku pamilon proyék, leres ngagunakeun Git nalika ngalereskeun kerentanan pikeun nyegah bocor sateuacan nyebarkeun perbaikan, netepkeun prosés pikeun ngaréspon laporan. masalah kaamanan, palaksanaan sistem nguji kaamanan, aplikasi tina prosedur review kode, nyokot kana akun kriteria nu patali kaamanan nalika nyieun release.

sumber: opennet.ru

Tambahkeun komentar