Peunteun perpustakaan anu peryogi pamariksaan kaamanan khusus
Yayasan dibentuk ku Yayasan Linux Inisiatif Infrastruktur Inti, dimana korporasi ngarah ngagabung kakuatan pikeun ngarojong proyék open source di wewengkon konci industri komputer, dibalanjakeun ulikan kadua dina program sensus, aimed di identifying proyék open source nu peryogi audits kaamanan prioritas.
Ulikan kadua museurkeun kana analisis kode open source dibagikeun implisit dipaké dina sagala rupa proyék perusahaan dina bentuk kagumantungan diundeur ti repositories éksternal. Kerentanan sareng kompromi pamekar komponén pihak katilu aub dina operasi aplikasi (ranté suplai) tiasa negate sadaya usaha pikeun ningkatkeun panangtayungan produk utama. Salaku hasil ulikan éta didefinisikeun 10 bungkusan anu paling sering dianggo dina JavaScript sareng Java, kaamanan sareng perawatan anu peryogi perhatian khusus.
Laporan éta ogé ngabahas masalah standarisasi skéma penamaan komponén éksternal, ngajagi akun pamekar, sareng ngajaga versi warisan saatos sékrési énggal didamel. Sajaba diterbitkeun ku Linux Foundation dokumenna kalawan saran praktis pikeun ngatur hiji prosés ngembangkeun aman pikeun proyék open source.
Dokumén éta ngabahas masalah nyebarkeun peran dina proyék, nyiptakeun tim anu tanggung jawab pikeun kaamanan, netepkeun kawijakan kaamanan, ngawaskeun kakuatan anu dipiboga ku pamilon proyék, leres ngagunakeun Git nalika ngalereskeun kerentanan pikeun nyegah bocor sateuacan nyebarkeun perbaikan, netepkeun prosés pikeun ngaréspon laporan. masalah kaamanan, palaksanaan sistem nguji kaamanan, aplikasi tina prosedur review kode, nyokot kana akun kriteria nu patali kaamanan nalika nyieun release.