Рейтинг бібліотек, які потребують особливої перевірки безпеки
Сформований при організації Linux Foundation фонд Основна інфраструктурна ініціатива, у рамках якого провідні корпорації об'єднали свої зусилля у напрямку забезпечення підтримки відкритих проектів, задіяних у ключових галузях комп'ютерної індустрії, провів друге дослідження у рамках програми Перепис, Націлена на виявлення відкритих проектів, що потребують першочергового аудиту безпеки.
Друге дослідження спрямовано аналіз спільно використовуваного відкритого коду, неявно застосовуваного у різних корпоративних проектах у вигляді залежностей, завантажуваних із зовнішніх репозиторіїв. Вразливість та компрометація розробників сторонніх компонентів, задіяних у роботі додатків (supply chain), можуть звести нанівець всі зусилля щодо вдосконалення захисту основного продукту. В результаті дослідження було визначено 10 найбільш часто використовуваних пакетів на JavaScript і Java, безпека та активність супроводу яких потребує особливої уваги.
У звіті також розглянуто питання стандартизації схеми найменування зовнішніх компонентів, захисту облікових записів розробників та підтримки застарілих версій після формування нових значних випусків. Додатково організацією Linux Foundation опубліковано документ з практичними рекомендаціями щодо організації безпечного процесу розробки відкритих проектів.
У документі розглянуто питання розподілу ролей у проекті, створення команд, відповідальних за безпеку, визначення політики безпеки, стеження за повноваженнями, які мають учасники проекту, коректного використання Git при виправленні вразливостей для уникнення витоків до публікації виправлення, визначення процесів реагування на повідомлення про проблеми з безпекою, впровадження систем тестування безпеки, застосування процедур рецензування коду, обліку пов'язаних із безпекою критеріїв для формування релізів.