ProHoster > Blog > internet yangiliklari > Maxsus xavfsizlik tekshiruvlarini talab qiladigan kutubxonalar reytingi

Maxsus xavfsizlik tekshiruvlarini talab qiladigan kutubxonalar reytingi

Linux fondi tomonidan tashkil etilgan fond Asosiy infratuzilma tashabbusi, bunda yetakchi korporatsiyalar kompyuter sanoatining asosiy sohalarida ochiq kodli loyihalarni qoʻllab-quvvatlash uchun kuchlarini birlashtirdilar, sarflangan dastur doirasidagi ikkinchi ta'lim Aholini ro'yxatga olish, ustuvor xavfsizlik auditiga muhtoj bo'lgan ochiq manba loyihalarini aniqlashga qaratilgan.

Ikkinchi tadqiqot tashqi omborlardan yuklab olingan bog'liqliklar ko'rinishidagi turli korporativ loyihalarda bilvosita qo'llaniladigan umumiy ochiq manba kodini tahlil qilishga qaratilgan. Ilovalarning (ta'minot zanjiri) ishlashida ishtirok etadigan uchinchi tomon komponentlarini ishlab chiquvchilarning zaifliklari va murosasi asosiy mahsulotning himoyasini yaxshilash bo'yicha barcha sa'y-harakatlarni bekor qilishi mumkin. Tadqiqot natijasida shunday bo'ldi albatta JavaScript va Java-da eng ko'p ishlatiladigan 10 ta paket, ularning xavfsizligi va barqarorligi alohida e'tibor talab qiladi.

Npm omboridan JavaScript kutubxonalari:

  • asinx (196 ming qator kod, 11 muallif, 7 ta komitent, 11 ta ochiq masala);
  • meros oladi (3.8 ming qator kod, 3 ta muallif, 1 ta muallif, 3 ta yechilmagan muammo);
  • massiv (317 qator kod, 3 ta muallif, 3 ta komitent, 4 ta ochiq masala);
  • kabi; singari (2 ming satr kod, 11 muallif, 11 komitent, 3 ta hal qilinmagan muammo);
  • lodash (42 ming satr kod, 28 muallif, 2 komitent, 30 ochiq masala);
  • minimalist (1.2 ming qator kodlar, 14 muallif, 6 komitent, 38 ochiq masala);
  • mahalliy aholi (3 ming satr kod, 2 muallif, 1 komitent, ochiq masalalar yo'q);
  • qs (5.4 ming qator kod, 5 ta muallif, 2 ta komitent, 41 ta ochiq masala);
  • o'qiladigan oqim (28 ming qator kod, 10 ta muallif, 3 ta komitent, 21 ta ochiq masala);
  • string_decoder (4.2 ming qator kod, 4 ta muallif, 3 ta komitent, 2 ta ochiq masala).

Maven omborlaridan Java kutubxonalari:

  • Jekson yadrosi (74 ming qator kodlar, 7 muallif, 6 komitent, 40 ochiq masala);
  • Jekson-ma'lumotlar bazasi (74 ming qator kodlar, 23 muallif, 2 komitent, 363 ochiq masala);
  • guava.git, Java uchun Google kutubxonalari (1 million satr kod, 83 muallif, 3 ta komitent, 620 ta ochiq masala);
  • Commons-kodek (51 ming qator kod, 3 ta muallif, 3 ta komitent, 29 ta ochiq masala);
  • commons-io (73 ming qator kodlar, 10 muallif, 6 komitent, 148 ochiq masala);
  • httpcomponents-mijoz (121 ming satr kod, 16 muallif, 8 komitent, 47 ochiq masala);
  • httpcomponents-yadrosi (131 ming satr kod, 15 muallif, 4 komitent, 7 ochiq masala);
  • logback (154 ming qator kod, 1 ta muallif, 2 ta komitent, 799 ta ochiq masala);
  • commons-lang (168 ming satr kod, 28 muallif, 17 komitent, 163 ochiq masala);
  • slf4j (38 ming qator kodlar, 4 muallif, 4 komitent, 189 ochiq masala);

Hisobot, shuningdek, tashqi komponentlarning nomlash sxemasini standartlashtirish, ishlab chiquvchilar hisoblarini himoya qilish va asosiy yangi nashrlar chiqarilgandan keyin eski versiyalarni saqlab qolish masalalarini ham ko'rib chiqadi. Qo'shimcha ravishda Linux fondi tomonidan nashr etilgan hujjat ochiq kodli loyihalar uchun xavfsiz rivojlanish jarayonini tashkil etish bo'yicha amaliy tavsiyalar bilan.

Hujjat loyihadagi rollarni taqsimlash, xavfsizlik uchun mas'ul guruhlarni yaratish, xavfsizlik siyosatini aniqlash, loyiha ishtirokchilari ega bo'lgan vakolatlarni monitoring qilish, tuzatishni nashr qilishdan oldin sizib chiqmaslik uchun zaifliklarni tuzatishda Git-dan to'g'ri foydalanish, hisobotlarga javob berish jarayonlarini aniqlash masalalarini ko'rib chiqadi. xavfsizlik bilan bog'liq muammolar, xavfsizlik test tizimlarini joriy etish, relizlar yaratishda xavfsizlik bilan bog'liq mezonlarni hisobga olgan holda kodni ko'rib chiqish tartiblarini qo'llash.

Manba: opennet.ru

a Izoh qo'shish