Linux基金会成立的基金会 ,其中领先的公司联手支持计算机行业关键领域的开源项目, 计划内的第二项研究 ,旨在识别需要优先安全审核的开源项目。
第二项研究重点分析以从外部存储库下载的依赖项的形式在各种企业项目中隐式使用的共享开源代码。 涉及应用程序(供应链)运营的第三方组件开发人员的漏洞和妥协可能会抵消改善主要产品保护的所有努力。 研究结果是 JavaScript和Java中最常用的10个包,其安全性和可维护性需要特别关注。
来自 npm 存储库的 JavaScript 库:
- (196 万行代码,11 位作者,7 位提交者,11 个开放问题);
- (3.8行代码,3位作者,1位提交者,3个未解决的问题);
- (317 行代码,3 位作者,3 位提交者,4 个开放问题);
- (2行代码,11位作者,11位提交者,3个未解决的问题);
- (42行代码,28位作者,2位提交者,30个开放问题);
- (1.2行代码,14位作者,6位提交者,38个开放问题);
- (3 行代码,2 位作者,1 位提交者,无未解决的问题);
- (5.4行代码,5位作者,2位提交者,41个开放问题);
- (28行代码,10位作者,3位提交者,21个开放问题);
- (4.2 行代码,4 位作者,3 位提交者,2 个开放问题)。
来自 Maven 存储库的 Java 库:
- (74行代码,7位作者,6位提交者,40个开放问题);
- (74行代码,23位作者,2位提交者,363个开放问题);
- 、Google Java 库(1 万行代码、83 位作者、3 位提交者、620 个开放问题);
- (51行代码,3位作者,3位提交者,29个开放问题);
- (73行代码,10位作者,6位提交者,148个开放问题);
- (121 万行代码,16 位作者,8 位提交者,47 个开放问题);
- (131 万行代码,15 位作者,4 位提交者,7 个开放问题);
- (154 万行代码,1 位作者,2 位提交者,799 个开放问题);
- (168 万行代码,28 位作者,17 位提交者,163 个开放问题);
- (38行代码,4位作者,4位提交者,189个开放问题);
该报告还解决了标准化外部组件命名方案、保护开发人员帐户以及在主要新版本发布后维护旧版本的问题。 另外由 Linux 基金会发布 以及为开源项目组织安全开发流程的实用建议。
该文档解决了项目中的角色分配、创建负责安全的团队、定义安全策略、监控项目参与者拥有的权力、修复漏洞时正确使用 Git 以避免发布修复之前的泄漏、定义响应报告的流程等问题安全问题、安全测试系统的实施、代码审查程序的应用,在创建版本时考虑与安全相关的标准。
来源: opennet.ru