ProHoster > Blog > balita sa internet > Ikatlong edisyon ng rating ng mga aklatan na nangangailangan ng mga espesyal na pagsusuri sa seguridad

Ikatlong edisyon ng rating ng mga aklatan na nangangailangan ng mga espesyal na pagsusuri sa seguridad

Samahan Linux Foundation совместно с Гарвардской лаборатории инноваций в науке подготовила новую редакцию исследования Census III, нацеленного на выявление наиболее широко используемых открытых проектов, нуждающихся в первоочередном аудите безопасности. В ходе исследования проведён анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев. Всего было изучено более 12 млн открытых библиотек, задействованных в приложениях, используемых в 10 тысячах различных компаний.

Batay sa mga nakalap na estadistika, pinagsama-sama namin ang isang listahan ng 500 pinakamadalas gamiting aklatan na ang seguridad at kalidad ng pagpapanatili ay nangangailangan ng espesyal na atensyon, dahil ang mga kahinaan at kompromiso ng mga third-party dependency developer ay maaaring magpawalang-bisa sa lahat ng pagsisikap na mapabuti ang seguridad ng pangunahing produkto. Isang kabuuang walong listahan ang binuo, niraranggo batay sa iba't ibang pamantayan, tulad ng pagkakaroon sa mga repositoryo ng NPM at ang pagkakaroon ng impormasyon ng bersyon kapag tinutukoy ang mga dependency.

Ilang konklusyon:

  • 17% ng nangungunang 50 pinakasikat na proyekto na hindi nakalista sa NPM repository ay mayroon lamang isang developer, at 40% ay may isa o dalawang developer na bumubuo sa 80% ng mga commit.
  • Kumpara sa nakaraang ulat mula 2022, kabilang sa mahahalagang pakete, tumaas ang paggamit ng mga pakete para sa pakikipag-ugnayan sa mga serbisyo ng cloud.
  • Patuloy ang paglipat ng mga proyekto mula sa Python 2 patungong Python 3.
  • Ang mga pakete ng Maven ay nananatiling popular, at ang paggamit ng mga pakete mula sa mga repositoryo ng PIP (Python), Cargo (Rust), at NuGet (.NET) ay lumalaki.
  • Gaya ng dati, kailangang gumamit ng mga standardized na scheme ng pagpapangalan para sa mga bahagi ng software.
  • Ang pagprotekta sa mga developer account ay lalong nagiging mahalaga. Marami sa mga pinakasikat na pakete ay naka-host sa ilalim ng mga account ng mga partikular na developer, na hindi gaanong ligtas kumpara sa mga account ng mga organisasyong partikular na nilikha para sa proyekto.
  • Ang 20 pinakakaraniwang ginagamit na mga pakete ng JavaScript mula sa repositoryo ng NPM, na nilo-load ng mga aplikasyon nang walang anumang mga paghihigpit sa bersyon, ay:
    Ikatlong edisyon ng rating ng mga aklatan na nangangailangan ng mga espesyal na pagsusuri sa seguridad
  • Ang 20 pinakakaraniwang ginagamit na mga pakete mula sa mga repositoryong hindi NPM na na-download ng mga aplikasyon nang walang version binding ay:
    Ikatlong edisyon ng rating ng mga aklatan na nangangailangan ng mga espesyal na pagsusuri sa seguridad

Pinagmulan: opennet.ru

Bumili ng maaasahang pagho-host para sa mga site na may proteksyon ng DDoS, mga server ng VPS VDS 🔥 Bumili ng maaasahang website hosting na may proteksyon ng DDoS, VPS VDS servers | ProHoster