มูลนิธิที่ก่อตั้งโดยมูลนิธิ Linux
การศึกษาที่สองมุ่งเน้นไปที่การวิเคราะห์โค้ดโอเพ่นซอร์สที่ใช้ร่วมกันซึ่งใช้โดยปริยายในโครงการระดับองค์กรต่างๆ ในรูปแบบของการขึ้นต่อกันที่ดาวน์โหลดจากที่เก็บข้อมูลภายนอก ช่องโหว่และการประนีประนอมของนักพัฒนาส่วนประกอบของบุคคลที่สามที่เกี่ยวข้องกับการทำงานของแอปพลิเคชัน (ห่วงโซ่อุปทาน) สามารถลบล้างความพยายามทั้งหมดในการปรับปรุงการปกป้องผลิตภัณฑ์หลัก ซึ่งผลจากการศึกษาพบว่า
ไลบรารี JavaScript จากที่เก็บ npm:
-
async (โค้ด 196 บรรทัด, ผู้เขียน 11 คน, ผู้มอบหมายงาน 7 คน, ประเด็นที่เปิดอยู่ 11 ฉบับ); -
สืบทอด (โค้ด 3.8 พันบรรทัด, ผู้เขียน 3 คน, คอมมิตเตอร์ 1 คน, ปัญหาที่ยังไม่ได้รับการแก้ไข 3 รายการ) -
อิซาเรย์ (โค้ด 317 บรรทัด, ผู้เขียน 3 คน, ผู้มอบหมายงาน 3 คน, 4 ประเด็นที่เปิดอยู่); -
ชนิดของ (โค้ด 2 บรรทัด, ผู้เขียน 11 คน, ผู้มอบหมายงาน 11 คน, ปัญหาที่ยังไม่ได้รับการแก้ไข 3 รายการ) -
โลดัช (โค้ด 42 บรรทัด, ผู้เขียน 28 คน, ผู้มอบหมายงาน 2 คน, ประเด็นที่เปิดอยู่ 30 ฉบับ); -
มินิมอล (โค้ด 1.2 พันบรรทัด, ผู้เขียน 14 คน, ผู้มอบหมายงาน 6 คน, ประเด็นที่เปิดอยู่ 38 ฉบับ); -
ชาวพื้นเมือง (โค้ด 3 บรรทัด, ผู้เขียน 2 คน, ผู้เขียน 1 คน, ไม่มีปัญหาที่เปิดอยู่); -
qs (โค้ด 5.4 พันบรรทัด, ผู้เขียน 5 คน, ผู้มอบหมายงาน 2 คน, ประเด็นที่เปิดอยู่ 41 ฉบับ); -
สตรีมที่อ่านได้ (โค้ด 28 พันบรรทัด, ผู้เขียน 10 คน, ผู้มอบหมายงาน 3 คน, ประเด็นที่เปิดอยู่ 21 ฉบับ); -
string_decoder (โค้ด 4.2 พันบรรทัด, ผู้เขียน 4 คน, ผู้มอบหมายงาน 3 คน, 2 ประเด็นที่เปิดอยู่)
ไลบรารี Java จากที่เก็บ Maven:
-
แจ็คสันคอร์ (โค้ด 74 พันบรรทัด, ผู้เขียน 7 คน, ผู้มอบหมายงาน 6 คน, ประเด็นที่เปิดอยู่ 40 ฉบับ); -
แจ็คสัน-databind (โค้ด 74 พันบรรทัด, ผู้เขียน 23 คน, ผู้มอบหมายงาน 2 คน, ประเด็นที่เปิดอยู่ 363 ฉบับ); -
ฝรั่ง.git , ไลบรารีของ Google สำหรับ Java (โค้ด 1 ล้านบรรทัด, ผู้แต่ง 83 คน, ผู้มอบหมายงาน 3 คน, 620 ประเด็นที่เปิดอยู่) -
คอมมอนส์ตัวแปลงสัญญาณ (โค้ด 51 บรรทัด, ผู้เขียน 3 คน, ผู้มอบหมายงาน 3 คน, 29 ประเด็นที่เปิดอยู่) -
คอมมอนส์-io (โค้ด 73 พันบรรทัด, ผู้เขียน 10 คน, ผู้มอบหมายงาน 6 คน, ประเด็นที่เปิดอยู่ 148 ฉบับ); -
httpcomponents-ไคลเอนต์ (โค้ด 121 บรรทัด, ผู้เขียน 16 คน, ผู้มอบหมายงาน 8 คน, ประเด็นที่เปิดอยู่ 47 ฉบับ); -
httpcomponents-core.php (โค้ด 131 บรรทัด, ผู้เขียน 15 คน, ผู้มอบหมายงาน 4 คน, 7 ประเด็นที่เปิดอยู่); -
เข้าสู่ระบบกลับ (โค้ด 154 บรรทัด, ผู้เขียน 1 คน, ผู้มอบหมาย 2 คน, 799 ประเด็นที่เปิดอยู่) -
คอมมอนส์-lang (โค้ด 168 บรรทัด, ผู้เขียน 28 คน, ผู้มอบหมายงาน 17 คน, ประเด็นที่เปิดอยู่ 163 ฉบับ); -
slf4j (โค้ด 38 บรรทัด, ผู้เขียน 4 คน, ผู้มอบหมายงาน 4 คน, 189 ประเด็นที่เปิดอยู่);
รายงานยังกล่าวถึงปัญหาของการกำหนดรูปแบบการตั้งชื่อของส่วนประกอบภายนอกให้เป็นมาตรฐาน การปกป้องบัญชีนักพัฒนา และการรักษาเวอร์ชันเดิมหลังจากออกเวอร์ชันหลักๆ แล้ว เผยแพร่เพิ่มเติมโดย Linux Foundation
เอกสารนี้กล่าวถึงปัญหาของการกระจายบทบาทในโครงการ การสร้างทีมที่รับผิดชอบด้านความปลอดภัย การกำหนดนโยบายความปลอดภัย การตรวจสอบอำนาจที่ผู้เข้าร่วมโครงการมี การใช้ Git อย่างถูกต้องเมื่อแก้ไขช่องโหว่เพื่อหลีกเลี่ยงการรั่วไหลก่อนที่จะเผยแพร่การแก้ไข กำหนดกระบวนการสำหรับการตอบสนองต่อรายงาน ปัญหาด้านความปลอดภัย การใช้ระบบทดสอบความปลอดภัย การใช้ขั้นตอนการตรวจสอบโค้ด โดยคำนึงถึงเกณฑ์ที่เกี่ยวข้องกับความปลอดภัยเมื่อสร้างการเผยแพร่
ที่มา: opennet.ru