Linux基金会成立的基金会
第二项研究重点分析以从外部存储库下载的依赖项的形式在各种企业项目中隐式使用的共享开源代码。 涉及应用程序(供应链)运营的第三方组件开发人员的漏洞和妥协可能会抵消改善主要产品保护的所有努力。 研究结果是
来自 npm 存储库的 JavaScript 库:
-
异步 (196 万行代码,11 位作者,7 位提交者,11 个开放问题); -
继承 (3.8行代码,3位作者,1位提交者,3个未解决的问题); -
数组 (317 行代码,3 位作者,3 位提交者,4 个开放问题); -
的种类 (2行代码,11位作者,11位提交者,3个未解决的问题); -
Lodash (42行代码,28位作者,2位提交者,30个开放问题); -
极简主义者 (1.2行代码,14位作者,6位提交者,38个开放问题); -
当地人 (3 行代码,2 位作者,1 位提交者,无未解决的问题); -
qs (5.4行代码,5位作者,2位提交者,41个开放问题); -
可读流 (28行代码,10位作者,3位提交者,21个开放问题); -
字符串解码器 (4.2 行代码,4 位作者,3 位提交者,2 个开放问题)。
来自 Maven 存储库的 Java 库:
-
杰克逊核心 (74行代码,7位作者,6位提交者,40个开放问题); -
杰克逊数据绑定 (74行代码,23位作者,2位提交者,363个开放问题); -
番石榴.git 、Google Java 库(1 万行代码、83 位作者、3 位提交者、620 个开放问题); -
公共编解码器 (51行代码,3位作者,3位提交者,29个开放问题); -
公地-io (73行代码,10位作者,6位提交者,148个开放问题); -
http组件客户端 (121 万行代码,16 位作者,8 位提交者,47 个开放问题); -
http组件核心 (131 万行代码,15 位作者,4 位提交者,7 个开放问题); -
登录 (154 万行代码,1 位作者,2 位提交者,799 个开放问题); -
公共语言 (168 万行代码,28 位作者,17 位提交者,163 个开放问题); -
slf4j (38行代码,4位作者,4位提交者,189个开放问题);
该报告还解决了标准化外部组件命名方案、保护开发人员帐户以及在主要新版本发布后维护旧版本的问题。 另外由 Linux 基金会发布
该文档解决了项目中的角色分配、创建负责安全的团队、定义安全策略、监控项目参与者拥有的权力、修复漏洞时正确使用 Git 以避免发布修复之前的泄漏、定义响应报告的流程等问题安全问题、安全测试系统的实施、代码审查程序的应用,在创建版本时考虑与安全相关的标准。
来源: opennet.ru