ProHoster > Blog > internet haberleri > Özel güvenlik kontrolleri gerektiren kütüphanelerin derecelendirilmesi

Özel güvenlik kontrolleri gerektiren kütüphanelerin derecelendirilmesi

Linux Vakfı tarafından kurulan vakıf Çekirdek Altyapı GirişimiÖnde gelen şirketlerin bilgisayar endüstrisinin kilit alanlarında açık kaynak projelerini desteklemek için güçlerini birleştirdiği, yürütülen program kapsamındaki ikinci çalışma Nüfus sayımıöncelikli güvenlik denetimlerine ihtiyaç duyan açık kaynak projelerini belirlemeyi amaçlamaktadır.

İkinci çalışma, çeşitli kurumsal projelerde örtülü olarak kullanılan, harici depolardan indirilen bağımlılıklar biçimindeki paylaşılan açık kaynak kodunun analizine odaklanmaktadır. Uygulamaların (tedarik zinciri) işleyişinde yer alan üçüncü taraf bileşenlerin geliştiricilerinin güvenlik açıkları ve uzlaşmaları, ana ürünün korunmasını iyileştirmeye yönelik tüm çabaları boşa çıkarabilir. Çalışma sonucunda şöyle oldu belirlenen Güvenliği ve bakımı özel dikkat gerektiren, JavaScript ve Java'da en sık kullanılan 10 paket.

Npm deposundaki JavaScript kitaplıkları:

  • zaman uyumsuz (196 bin kod satırı, 11 yazar, 7 taahhütçü, 11 açık sayı);
  • devralır (3.8 bin satır kod, 3 yazar, 1 işleyici, 3 çözülmemiş sorun);
  • dizi (317 satır kod, 3 yazar, 3 taahhüt eden, 4 açık konu);
  • biraz (2 bin satır kod, 11 yazar, 11 işleyici, 3 çözülmemiş sorun);
  • Lodash (42 bin satır kod, 28 yazar, 2 taahhütçü, 30 açık sayı);
  • Minimalist (1.2 bin satır kod, 14 yazar, 6 taahhütçü, 38 açık sayı);
  • yerliler (3 bin satır kod, 2 yazar, 1 taahhütçü, açık konu yok);
  • qs (5.4 bin satır kod, 5 yazar, 2 taahhütçü, 41 açık sayı);
  • okunabilir akış (28 bin satır kod, 10 yazar, 3 taahhütçü, 21 açık sayı);
  • string_decoder (4.2 bin satır kod, 4 yazar, 3 işleyici, 2 açık konu).

Maven depolarındaki Java kitaplıkları:

  • Jackson-çekirdeği (74 bin satır kod, 7 yazar, 6 taahhütçü, 40 açık sayı);
  • Jackson-veri bağı (74 bin satır kod, 23 yazar, 2 taahhütçü, 363 açık sayı);
  • guava.git, Java için Google kütüphaneleri (1 milyon kod satırı, 83 yazar, 3 işleyici, 620 açık sayı);
  • Commons-codec'i (51 bin satır kod, 3 yazar, 3 taahhütçü, 29 açık sayı);
  • müşterekler-io (73 bin satır kod, 10 yazar, 6 taahhütçü, 148 açık sayı);
  • httpbileşenleri-istemci (121 bin satır kod, 16 yazar, 8 taahhütçü, 47 açık sayı);
  • httpbileşenler-çekirdek (131 bin satır kod, 15 yazar, 4 taahhütçü, 7 açık sayı);
  • yeniden giriş yap (154 bin satır kod, 1 yazar, 2 işleyici, 799 açık sayı);
  • ortak dil (168 bin satır kod, 28 yazar, 17 taahhüt eden, 163 açık sayı);
  • slf4j (38 bin satır kod, 4 yazar, 4 taahhütçü, 189 açık sayı);

Raporda ayrıca harici bileşenlerin adlandırma şemasının standartlaştırılması, geliştirici hesaplarının korunması ve büyük yeni sürümler yayınlandıktan sonra eski sürümlerin sürdürülmesi sorunları da ele alınıyor. Ayrıca Linux Vakfı tarafından yayınlandı belge Açık kaynak projeleri için güvenli bir geliştirme süreci düzenlemeye yönelik pratik önerilerle birlikte.

Belge, projedeki rolleri dağıtma, güvenlikten sorumlu ekipler oluşturma, güvenlik politikalarını tanımlama, proje katılımcılarının sahip olduğu yetkileri izleme, düzeltmeyi yayınlamadan önce sızıntıları önlemek için güvenlik açıklarını düzeltirken Git'i doğru kullanma, raporlara yanıt verme süreçlerini tanımlama konularını ele alıyor. güvenlikle ilgili sorunların giderilmesi, güvenlik test sistemlerinin uygulanması, kod inceleme prosedürlerinin uygulanması, sürümler oluşturulurken güvenlikle ilgili kriterlerin dikkate alınması.

Kaynak: opennet.ru

Yorum ekle