ProHoster > blogg > internetnyheter > Uppdatering av klassificeringen av bibliotek som kräver särskilda säkerhetskontroller

Uppdatering av klassificeringen av bibliotek som kräver särskilda säkerhetskontroller

OpenSSF (Open Source Security Foundation), som bildas av Linux Foundation och syftar till att förbättra säkerheten för programvara med öppen källkod, har publicerat en ny upplaga av Census II-studien, som syftar till att identifiera projekt med öppen källkod som behöver prioriterade säkerhetsrevisioner. Studien fokuserar på analys av delad öppen källkod som implicit används i olika företagsprojekt i form av beroenden nedladdade från externa arkiv.

Som ett resultat har listor över de 500 mest använda paketen utarbetats, vars säkerhet och kvalitet på underhållet kräver särskild uppmärksamhet, eftersom sårbarheter och kompromisser hos utvecklare av tredjepartskomponenter som är involverade i driften av applikationer (försörjningskedjan) kan upphäva alla ansträngningar för att förbättra skyddet av huvudprodukten. Det finns totalt 8 listalternativ, vars innehåll rangordnas beroende på olika kriterier, såsom leverans i NPM-förvaret och närvaron av versionsinformation vid fastställande av beroenden.

De 10 vanligaste JavaScript-paketen från NPM-förvaret, nedladdade av applikationer utan att vara bundna till version:

  • lodash
  • reagera
  • Axios
  • felsöka
  • @babel/kärna
  • uttrycker
  • sugga
  • uuid
  • reagera-dom
  • jquery

De 10 mest använda Python-paketen som distribueras genom pypi-förvaret är:

  • sex
  • pyyaml
  • förfrågningar
  • urllib3
  • jinja2
  • python-dateutil
  • klick
  • idna
  • chardet
  • markupsafe

De 10 vanligaste Ruby-beroendepaketen som distribueras genom RubyGems-förvaret är:

  • hoppborg-java
  • awssdk
  • rally-jasmin-kärna
  • aws-sdk
  • nunit
  • cscsl
  • highcharts-js-rails
  • antlr3
  • rspec
  • som min

De 10 vanligaste Java-paketberoendena som distribueras genom Maven-förvaret är:

  • org.slf4j:slf4j-api
  • com.fasterxml.jackson.core:jackson-databind
  • com.google.guava:guava
  • com.fasterxml.jackson.core:jackson-core
  • org.springframework:spring-framework-bom
  • com.fasterxml.jackson.core:jackson-annotations
  • commons-io: commons-io
  • junit:junit
  • org.apache.commons:commons-lang3
  • commons-codec:commons-codec

De 10 mest använda .NET-beroendepaketen som distribueras genom nuget-förvaret är:

  • json.net
  • facebook
  • moderniserad
  • newtonsoft.json
  • castle.core-log4net
  • newtonsoft.json
  • castle.core-log4net
  • freqsystemberoenden
  • microsoft.extensions.caching.minne
  • microsoft.extensions.dependencyinjection.abstraktioner

De 10 mest använda beroendepaketen som distribueras för Go-språket är:

  • grpc/grpc-go
  • kubernetes/client-go
  • kubernetes/apimaskineri
  • kubernetes/api
  • bår/vittna
  • kubernetes/klog
  • pkg/fel
  • spf13/kobra
  • x/net
  • prometheus/client_golang

Källa: opennet.ru

Lägg en kommentar