Klassificering av bibliotek som kräver särskilda säkerhetskontroller
Foundation bildad av Linux Foundation Core Infrastructure Initiative, där ledande företag gick samman för att stödja projekt med öppen källkod inom nyckelområden inom datorindustrin, tillbringade andra studien inom programmet Folkräkningen, som syftar till att identifiera projekt med öppen källkod som behöver prioriterade säkerhetsrevisioner.
Den andra studien fokuserar på analys av delad öppen källkod som implicit används i olika företagsprojekt i form av beroenden nedladdade från externa arkiv. Sårbarheter och kompromisser hos utvecklare av tredjepartskomponenter som är involverade i driften av applikationer (försörjningskedjan) kan motverka alla ansträngningar för att förbättra skyddet av huvudprodukten. Som ett resultat av studien var det definitivt De 10 mest använda paketen i JavaScript och Java, vars säkerhet och underhåll kräver särskild uppmärksamhet.
Rapporten tar också upp frågor om standardisering av namnschemat för externa komponenter, skydd av utvecklarkonton och underhåll av äldre versioner efter att stora nya utgåvor har gjorts. Dessutom publicerad av Linux Foundation dokument med praktiska rekommendationer för att organisera en säker utvecklingsprocess för projekt med öppen källkod.
Dokumentet tar upp frågorna om att fördela roller i projektet, skapa team som ansvarar för säkerhet, definiera säkerhetspolicyer, övervaka de befogenheter som projektdeltagare har, korrekt använda Git när man fixar sårbarheter för att undvika läckor innan korrigeringen publiceras, definiera processer för att svara på rapporter av problem med säkerhet, implementering av säkerhetstestsystem, tillämpning av procedurer för kodgranskning, med beaktande av säkerhetsrelaterade kriterier vid skapandet av releaser.