โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > การจัดอันดับห้องสมุดที่ต้องมีการตรวจสอบความปลอดภัยเป็นพิเศษ

การจัดอันดับห้องสมุดที่ต้องมีการตรวจสอบความปลอดภัยเป็นพิเศษ

มูลนิธิที่ก่อตั้งโดยมูลนิธิ Linux โครงการริเริ่มโครงสร้างพื้นฐานหลักโดยบริษัทชั้นนำผนึกกำลังสนับสนุนโครงการโอเพ่นซอร์สในด้านสำคัญของอุตสาหกรรมคอมพิวเตอร์ ค่าใช้จ่าย การศึกษาครั้งที่สองภายในโปรแกรม การสำรวจสำมะโนประชากรมุ่งเป้าไปที่การระบุโครงการโอเพ่นซอร์สที่จำเป็นต้องมีการตรวจสอบความปลอดภัยเป็นลำดับแรก

การศึกษาที่สองมุ่งเน้นไปที่การวิเคราะห์โค้ดโอเพ่นซอร์สที่ใช้ร่วมกันซึ่งใช้โดยปริยายในโครงการระดับองค์กรต่างๆ ในรูปแบบของการขึ้นต่อกันที่ดาวน์โหลดจากที่เก็บข้อมูลภายนอก ช่องโหว่และการประนีประนอมของนักพัฒนาส่วนประกอบของบุคคลที่สามที่เกี่ยวข้องกับการทำงานของแอปพลิเคชัน (ห่วงโซ่อุปทาน) สามารถลบล้างความพยายามทั้งหมดในการปรับปรุงการปกป้องผลิตภัณฑ์หลัก ซึ่งผลจากการศึกษาพบว่า อย่างแน่นอน 10 แพ็คเกจที่ใช้บ่อยที่สุดใน JavaScript และ Java ความปลอดภัยและการบำรุงรักษาซึ่งต้องได้รับการดูแลเป็นพิเศษ

ไลบรารี JavaScript จากที่เก็บ npm:

  • async (โค้ด 196 บรรทัด, ผู้เขียน 11 คน, ผู้มอบหมายงาน 7 คน, ประเด็นที่เปิดอยู่ 11 ฉบับ);
  • สืบทอด (โค้ด 3.8 พันบรรทัด, ผู้เขียน 3 คน, คอมมิตเตอร์ 1 คน, ปัญหาที่ยังไม่ได้รับการแก้ไข 3 รายการ)
  • อิซาเรย์ (โค้ด 317 บรรทัด, ผู้เขียน 3 คน, ผู้มอบหมายงาน 3 คน, 4 ประเด็นที่เปิดอยู่);
  • ชนิดของ (โค้ด 2 บรรทัด, ผู้เขียน 11 คน, ผู้มอบหมายงาน 11 คน, ปัญหาที่ยังไม่ได้รับการแก้ไข 3 รายการ)
  • โลดัช (โค้ด 42 บรรทัด, ผู้เขียน 28 คน, ผู้มอบหมายงาน 2 คน, ประเด็นที่เปิดอยู่ 30 ฉบับ);
  • มินิมอล (โค้ด 1.2 พันบรรทัด, ผู้เขียน 14 คน, ผู้มอบหมายงาน 6 คน, ประเด็นที่เปิดอยู่ 38 ฉบับ);
  • ชาวพื้นเมือง (โค้ด 3 บรรทัด, ผู้เขียน 2 คน, ผู้เขียน 1 คน, ไม่มีปัญหาที่เปิดอยู่);
  • qs (โค้ด 5.4 พันบรรทัด, ผู้เขียน 5 คน, ผู้มอบหมายงาน 2 คน, ประเด็นที่เปิดอยู่ 41 ฉบับ);
  • สตรีมที่อ่านได้ (โค้ด 28 พันบรรทัด, ผู้เขียน 10 คน, ผู้มอบหมายงาน 3 คน, ประเด็นที่เปิดอยู่ 21 ฉบับ);
  • string_decoder (โค้ด 4.2 พันบรรทัด, ผู้เขียน 4 คน, ผู้มอบหมายงาน 3 คน, 2 ประเด็นที่เปิดอยู่)

ไลบรารี Java จากที่เก็บ Maven:

  • แจ็คสันคอร์ (โค้ด 74 พันบรรทัด, ผู้เขียน 7 คน, ผู้มอบหมายงาน 6 คน, ประเด็นที่เปิดอยู่ 40 ฉบับ);
  • แจ็คสัน-databind (โค้ด 74 พันบรรทัด, ผู้เขียน 23 คน, ผู้มอบหมายงาน 2 คน, ประเด็นที่เปิดอยู่ 363 ฉบับ);
  • ฝรั่ง.git, ไลบรารีของ Google สำหรับ Java (โค้ด 1 ล้านบรรทัด, ผู้แต่ง 83 คน, ผู้มอบหมายงาน 3 คน, 620 ประเด็นที่เปิดอยู่)
  • คอมมอนส์ตัวแปลงสัญญาณ (โค้ด 51 บรรทัด, ผู้เขียน 3 คน, ผู้มอบหมายงาน 3 คน, 29 ประเด็นที่เปิดอยู่)
  • คอมมอนส์-io (โค้ด 73 พันบรรทัด, ผู้เขียน 10 คน, ผู้มอบหมายงาน 6 คน, ประเด็นที่เปิดอยู่ 148 ฉบับ);
  • httpcomponents-ไคลเอนต์ (โค้ด 121 บรรทัด, ผู้เขียน 16 คน, ผู้มอบหมายงาน 8 คน, ประเด็นที่เปิดอยู่ 47 ฉบับ);
  • httpcomponents-core.php (โค้ด 131 บรรทัด, ผู้เขียน 15 คน, ผู้มอบหมายงาน 4 คน, 7 ประเด็นที่เปิดอยู่);
  • เข้าสู่ระบบกลับ (โค้ด 154 บรรทัด, ผู้เขียน 1 คน, ผู้มอบหมาย 2 คน, 799 ประเด็นที่เปิดอยู่)
  • คอมมอนส์-lang (โค้ด 168 บรรทัด, ผู้เขียน 28 คน, ผู้มอบหมายงาน 17 คน, ประเด็นที่เปิดอยู่ 163 ฉบับ);
  • slf4j (โค้ด 38 บรรทัด, ผู้เขียน 4 คน, ผู้มอบหมายงาน 4 คน, 189 ประเด็นที่เปิดอยู่);

รายงานยังกล่าวถึงปัญหาของการกำหนดรูปแบบการตั้งชื่อของส่วนประกอบภายนอกให้เป็นมาตรฐาน การปกป้องบัญชีนักพัฒนา และการรักษาเวอร์ชันเดิมหลังจากออกเวอร์ชันหลักๆ แล้ว เผยแพร่เพิ่มเติมโดย Linux Foundation เอกสาร พร้อมคำแนะนำเชิงปฏิบัติสำหรับการจัดกระบวนการพัฒนาที่ปลอดภัยสำหรับโครงการโอเพ่นซอร์ส

เอกสารนี้กล่าวถึงปัญหาของการกระจายบทบาทในโครงการ การสร้างทีมที่รับผิดชอบด้านความปลอดภัย การกำหนดนโยบายความปลอดภัย การตรวจสอบอำนาจที่ผู้เข้าร่วมโครงการมี การใช้ Git อย่างถูกต้องเมื่อแก้ไขช่องโหว่เพื่อหลีกเลี่ยงการรั่วไหลก่อนที่จะเผยแพร่การแก้ไข กำหนดกระบวนการสำหรับการตอบสนองต่อรายงาน ปัญหาด้านความปลอดภัย การใช้ระบบทดสอบความปลอดภัย การใช้ขั้นตอนการตรวจสอบโค้ด โดยคำนึงถึงเกณฑ์ที่เกี่ยวข้องกับความปลอดภัยเมื่อสร้างการเผยแพร่

ที่มา: opennet.ru

เพิ่มความคิดเห็น