ProHoster > blogg > internetnyheter > Klassificering av bibliotek som kräver särskilda säkerhetskontroller

Klassificering av bibliotek som kräver särskilda säkerhetskontroller

Foundation bildad av Linux Foundation Core Infrastructure Initiative, där ledande företag gick samman för att stödja projekt med öppen källkod inom nyckelområden inom datorindustrin, tillbringade andra studien inom programmet Folkräkningen, som syftar till att identifiera projekt med öppen källkod som behöver prioriterade säkerhetsrevisioner.

Den andra studien fokuserar på analys av delad öppen källkod som implicit används i olika företagsprojekt i form av beroenden nedladdade från externa arkiv. Sårbarheter och kompromisser hos utvecklare av tredjepartskomponenter som är involverade i driften av applikationer (försörjningskedjan) kan motverka alla ansträngningar för att förbättra skyddet av huvudprodukten. Som ett resultat av studien var det definitivt De 10 mest använda paketen i JavaScript och Java, vars säkerhet och underhåll kräver särskild uppmärksamhet.

JavaScript-bibliotek från npm-förrådet:

  • async (196 tusen rader kod, 11 författare, 7 committers, 11 öppna nummer);
  • ärver (3.8 tusen rader kod, 3 författare, 1 committer, 3 olösta problem);
  • isarray (317 rader kod, 3 författare, 3 committers, 4 öppna nummer);
  • ungefär (2 tusen rader kod, 11 författare, 11 committers, 3 olösta problem);
  • lodash (42 tusen rader kod, 28 författare, 2 committers, 30 öppna nummer);
  • minimalist (1.2 tusen rader kod, 14 författare, 6 committers, 38 öppna nummer);
  • jungfru (3 tusen rader kod, 2 författare, 1 committer, inga öppna problem);
  • qs (5.4 tusen rader kod, 5 författare, 2 committers, 41 öppna nummer);
  • läsbar ström (28 tusen rader kod, 10 författare, 3 committers, 21 öppna nummer);
  • string_decoder (4.2 tusen rader kod, 4 författare, 3 committers, 2 öppna nummer).

Java-bibliotek från Maven repositories:

  • jackson-kärna (74 tusen rader kod, 7 författare, 6 committers, 40 öppna nummer);
  • jackson-databind (74 tusen rader kod, 23 författare, 2 committers, 363 öppna nummer);
  • guava.git, Googles bibliotek för Java (1 miljon rader kod, 83 författare, 3 committers, 620 öppna nummer);
  • commons-codec (51 tusen rader kod, 3 författare, 3 committers, 29 öppna nummer);
  • commons-io (73 tusen rader kod, 10 författare, 6 committers, 148 öppna nummer);
  • httpcomponents-client (121 tusen rader kod, 16 författare, 8 committers, 47 öppna nummer);
  • httpcomponents-core (131 tusen rader kod, 15 författare, 4 committers, 7 öppna nummer);
  • logga tillbaka (154 tusen rader kod, 1 författare, 2 committers, 799 öppna nummer);
  • commons-lang (168 tusen rader kod, 28 författare, 17 committers, 163 öppna nummer);
  • slf4j (38 tusen rader kod, 4 författare, 4 committers, 189 öppna nummer);

Rapporten tar också upp frågor om standardisering av namnschemat för externa komponenter, skydd av utvecklarkonton och underhåll av äldre versioner efter att stora nya utgåvor har gjorts. Dessutom publicerad av Linux Foundation dokument med praktiska rekommendationer för att organisera en säker utvecklingsprocess för projekt med öppen källkod.

Dokumentet tar upp frågorna om att fördela roller i projektet, skapa team som ansvarar för säkerhet, definiera säkerhetspolicyer, övervaka de befogenheter som projektdeltagare har, korrekt använda Git när man fixar sårbarheter för att undvika läckor innan korrigeringen publiceras, definiera processer för att svara på rapporter av problem med säkerhet, implementering av säkerhetstestsystem, tillämpning av procedurer för kodgranskning, med beaktande av säkerhetsrelaterade kriterier vid skapandet av releaser.

Källa: opennet.ru

Lägg en kommentar