Xếp hạng các thư viện yêu cầu kiểm tra bảo mật đặc biệt

Quỹ được thành lập bởi Quỹ Linux Sáng kiến ​​cơ sở hạ tầng cốt lõi, trong đó các tập đoàn hàng đầu hợp lực hỗ trợ các dự án nguồn mở trong các lĩnh vực then chốt của ngành công nghiệp máy tính, bỏ ra nghiên cứu thứ hai trong chương trình Điều tra dân số, nhằm mục đích xác định các dự án nguồn mở cần kiểm tra bảo mật ưu tiên.

Nghiên cứu thứ hai tập trung vào phân tích mã nguồn mở dùng chung được ngầm sử dụng trong các dự án doanh nghiệp khác nhau dưới dạng các phần phụ thuộc được tải xuống từ các kho lưu trữ bên ngoài. Các lỗ hổng và sự xâm phạm của các nhà phát triển các thành phần bên thứ ba liên quan đến hoạt động của ứng dụng (chuỗi cung ứng) có thể phủ nhận mọi nỗ lực cải thiện khả năng bảo vệ của sản phẩm chính. Theo kết quả của nghiên cứu đó là chắc chắn 10 gói được sử dụng phổ biến nhất trong JavaScript và Java, tính bảo mật và khả năng bảo trì của chúng cần được đặc biệt chú ý.

Thư viện JavaScript từ kho lưu trữ npm:

• không đồng bộ (196 nghìn dòng mã, 11 tác giả, 7 ủy viên, 11 vấn đề mở);
• kế thừa (3.8 nghìn dòng mã, 3 tác giả, 1 người soạn thảo, 3 vấn đề chưa giải quyết được);
• mảng (317 dòng mã, 3 tác giả, 3 người soạn thảo, 4 vấn đề mở);
• đại loại (2 nghìn dòng mã, 11 tác giả, 11 người soạn thảo, 3 vấn đề chưa giải quyết được);
• nhà nghỉ (42 nghìn dòng mã, 28 tác giả, 2 ủy viên, 30 vấn đề mở);
• người thu nhỏ (1.2 nghìn dòng mã, 14 tác giả, 6 ủy viên, 38 vấn đề mở);
• người bản xứ (3 nghìn dòng mã, 2 tác giả, 1 người soạn thảo, không có vấn đề mở);
• qs (5.4 nghìn dòng mã, 5 tác giả, 2 người soạn thảo, 41 vấn đề mở);
• luồng có thể đọc được (28 nghìn dòng mã, 10 tác giả, 3 người soạn thảo, 21 vấn đề mở);
• bộ giải mã chuỗi (4.2 nghìn dòng mã, 4 tác giả, 3 người soạn thảo, 2 vấn đề mở).

Thư viện Java từ kho lưu trữ Maven:

• lõi jackson (74 nghìn dòng mã, 7 tác giả, 6 ủy viên, 40 vấn đề mở);
• jackson-databind (74 nghìn dòng mã, 23 tác giả, 2 ủy viên, 363 vấn đề mở);
• ổi.git, Thư viện Google cho Java (1 triệu dòng mã, 83 tác giả, 3 người soạn thảo, 620 vấn đề mở);
• commons-codec (51 nghìn dòng mã, 3 tác giả, 3 người soạn thảo, 29 vấn đề mở);
• chung-io (73 nghìn dòng mã, 10 tác giả, 6 ủy viên, 148 vấn đề mở);
• httpthành phần-client (121 nghìn dòng mã, 16 tác giả, 8 ủy viên, 47 vấn đề mở);
• lõi httpthành phần (131 nghìn dòng mã, 15 tác giả, 4 ủy viên, 7 vấn đề mở);
• đăng lại (154 nghìn dòng mã, 1 tác giả, 2 người soạn thảo, 799 vấn đề mở);
• chung-lang (168 nghìn dòng mã, 28 tác giả, 17 ủy viên, 163 vấn đề mở);
• slf4j (38 nghìn dòng mã, 4 tác giả, 4 người soạn thảo, 189 vấn đề mở);

Báo cáo cũng đề cập đến các vấn đề về tiêu chuẩn hóa sơ đồ đặt tên của các thành phần bên ngoài, bảo vệ tài khoản nhà phát triển và duy trì các phiên bản cũ sau khi các bản phát hành chính mới được thực hiện. Được xuất bản thêm bởi Linux Foundation tài liệu với các khuyến nghị thực tế để tổ chức quy trình phát triển an toàn cho các dự án nguồn mở.

Tài liệu đề cập đến các vấn đề về phân bổ vai trò trong dự án, tạo các nhóm chịu trách nhiệm về bảo mật, xác định chính sách bảo mật, giám sát quyền hạn mà người tham gia dự án có, sử dụng Git chính xác khi sửa lỗ hổng để tránh rò rỉ trước khi xuất bản bản sửa lỗi, xác định quy trình phản hồi báo cáo các vấn đề về bảo mật, triển khai hệ thống kiểm tra bảo mật, áp dụng quy trình xem xét mã, có tính đến các tiêu chí liên quan đến bảo mật khi tạo bản phát hành.

Nguồn: opennet.ru