Фонд OpenSSF (Open Source Security Foundation), сформований організацією Linux Foundation і націлений на підвищення безпеки відкритого ПЗ, опублікував нову редакцію дослідження Census II, націленого на виявлення відкритих проектів, які потребують першочергового аудиту безпеки. Дослідження орієнтоване на аналіз спільно використовуваного відкритого коду, який неявно застосовується в різних корпоративних проектах у формі залежностей, що завантажуються із зовнішніх репозиторіїв.
У результаті підготовлені списки з 500 пакетів, що найчастіше використовуються, безпека і якість супроводу яких потребує особливої уваги, оскільки вразливості та компрометація розробників сторонніх компонентів, задіяних у роботі додатків (supply chain), можуть звести нанівець всі зусилля щодо вдосконалення захисту основного продукту. Загалом запропоновано 8 варіантів списків, вміст яких ранжировано залежно від різних критеріїв, таких як постачання в репозиторії NPM та наявність інформації про версію при визначенні залежностей.
10 найчастіше використовуваних JavaScript-пакетів з репозиторію NPM, завантажуваних додатками без прив'язки до версії:
- лодаш
- реагувати
- аксіоси
- відлагоджувати
- @babel/core
- експрес
- півріччя
- uuid
- реагувати-дом
- jquery
10 найбільш часто використовуються в залежностях Python-пакетів, що розповсюджуються через репозиторій pypi:
- шість
- pyyaml
- запитів
- urllib3
- jinja2
- python-dateutil
- клацання
- idna
- шардет
- markupsafe
10 найчастіше використовуваних у залежностях Ruby-пакетів, що поширюються через репозиторій RubyGems:
- bouncy-castle-java
- awssdk
- rally-jasmine-core
- aws-sdk
- nunit
- cscsl
- highcharts-js-rails
- antlr3
- rspec
- asmine
10 найчастіше використовуваних у залежностях Java-пакетів, що розповсюджуються через репозиторій Maven:
- org.slf4j:slf4j-api
- com.fasterxml.jackson.core:jackson-databind
- com.google.guava:guava
- com.fasterxml.jackson.core:jackson-core
- org.springframework:spring-framework-bom
- com.fasterxml.jackson.core:jackson-annotations
- commons-io:commons-io
- junit:junit
- org.apache.commons:commons-lang3
- commons-codec:commons-codec
10 пакетів, що найчастіше використовуються в залежностях .NET, що поширюються через репозиторій nuget:
- json.net
- модернізр
- newtonsoft.json
- castle.core-log4net
- newtonsoft.json
- castle.core-log4net
- freqsystemdependencies
- microsoft.extensions.caching.memory
- microsoft.extensions.dependencyinjection.abstractions
10 найбільш часто використовуваних у залежностях пакетів, що розповсюджуються для мови Go:
- grpc/grpc-go
- kubernetes/client-go
- kubernetes/apimachinery
- kubernetes/api
- stretchr/testify
- kubernetes/klog
- pkg/errors
- spf13/cobra
- x/net
- prometheus/client_golang
Джерело: opennet.ru