Foundation na binuo ng Linux Foundation , kung saan nagsanib-puwersa ang mga nangungunang korporasyon upang suportahan ang mga open source na proyekto sa mga pangunahing lugar ng industriya ng computer, pangalawang pag-aaral sa loob ng programa , na naglalayong tukuyin ang mga open source na proyekto na nangangailangan ng priyoridad na pag-audit sa seguridad.
Ang pangalawang pag-aaral ay nakatuon sa pagsusuri ng nakabahaging open source code na tahasang ginagamit sa iba't ibang mga proyekto ng enterprise sa anyo ng mga dependency na na-download mula sa mga panlabas na repositoryo. Ang mga kahinaan at kompromiso ng mga developer ng mga third-party na bahagi na kasangkot sa pagpapatakbo ng mga application (supply chain) ay maaaring magpawalang-bisa sa lahat ng pagsisikap na mapabuti ang proteksyon ng pangunahing produkto. Bilang resulta ng pag-aaral ay Ang 10 pinakakaraniwang ginagamit na mga pakete sa JavaScript at Java, ang seguridad at kakayahang mapanatili na nangangailangan ng espesyal na atensyon.
Mga library ng JavaScript mula sa repository ng npm:
- (196 thousand lines of code, 11 authors, 7 committers, 11 open issues);
- (3.8 libong linya ng code, 3 may-akda, 1 committer, 3 hindi nalutas na mga problema);
- (317 linya ng code, 3 may-akda, 3 committers, 4 bukas na isyu);
- (2 libong linya ng code, 11 may-akda, 11 committers, 3 hindi nalutas na mga problema);
- (42 libong linya ng code, 28 may-akda, 2 committers, 30 bukas na isyu);
- (1.2 libong linya ng code, 14 na may-akda, 6 committers, 38 bukas na isyu);
- (3 libong linya ng code, 2 may-akda, 1 committer, walang bukas na isyu);
- (5.4 thousand lines of code, 5 authors, 2 committers, 41 open issues);
- (28 thousand lines of code, 10 authors, 3 committers, 21 open issues);
- (4.2 libong linya ng code, 4 na may-akda, 3 committers, 2 bukas na isyu).
Mga aklatan ng Java mula sa mga repositoryo ng Maven:
- (74 libong linya ng code, 7 na may-akda, 6 committers, 40 bukas na isyu);
- (74 libong linya ng code, 23 na may-akda, 2 committers, 363 bukas na isyu);
- , Google library para sa Java (1 milyong linya ng code, 83 may-akda, 3 committers, 620 bukas na isyu);
- (51 thousand lines of code, 3 authors, 3 committers, 29 open issues);
- (73 libong linya ng code, 10 na may-akda, 6 committers, 148 bukas na isyu);
- (121 thousand lines of code, 16 authors, 8 committers, 47 open issues);
- (131 libong linya ng code, 15 mga may-akda, 4 na committers, 7 bukas na isyu);
- (154 libong linya ng code, 1 may-akda, 2 committers, 799 bukas na isyu);
- (168 thousand lines of code, 28 authors, 17 committers, 163 open issues);
- (38 thousand lines of code, 4 authors, 4 committers, 189 open issues);
Tinutugunan din ng ulat ang mga isyu sa pag-standardize ng scheme ng pagbibigay ng pangalan ng mga panlabas na bahagi, pagprotekta sa mga developer account, at pagpapanatili ng mga legacy na bersyon pagkatapos ng mga pangunahing bagong release. Bukod pa rito ay inilathala ng Linux Foundation na may mga praktikal na rekomendasyon para sa pag-aayos ng isang secure na proseso ng pag-unlad para sa mga open source na proyekto.
Tinutugunan ng dokumento ang mga isyu ng pamamahagi ng mga tungkulin sa proyekto, paglikha ng mga koponan na responsable para sa seguridad, pagtukoy sa mga patakaran sa seguridad, pagsubaybay sa mga kapangyarihan na mayroon ang mga kalahok sa proyekto, gamit nang tama ang Git kapag inaayos ang mga kahinaan upang maiwasan ang mga pagtagas bago i-publish ang pag-aayos, pagtukoy sa mga proseso para sa pagtugon sa mga ulat ng mga problema sa seguridad, pagpapatupad ng mga sistema ng pagsubok sa seguridad, aplikasyon ng mga pamamaraan sa pagsusuri ng code, isinasaalang-alang ang mga pamantayang nauugnay sa seguridad kapag gumagawa ng mga release.
Pinagmulan: opennet.ru