Linux基金會成立的基金會
第二項研究重點分析以從外部儲存庫下載的依賴項的形式在各種企業專案中隱式使用的共用開源程式碼。 涉及應用程式(供應鏈)營運的第三方組件開發人員的漏洞和妥協可能會抵消改善主要產品保護的所有努力。 研究結果是
來自 npm 儲存庫的 JavaScript 庫:
-
異步 (196 萬行程式碼,11 位作者,7 位提交者,11 個開放問題); -
繼承 (3.8行程式碼,3位作者,1位提交者,3個未解決的問題); -
陣列 (317 行程式碼,3 位作者,3 位提交者,4 個開放問題); -
有點兒 (2行程式碼,11位作者,11位提交者,3個未解決的問題); -
Lodash (42行程式碼,28位作者,2位提交者,30個開放問題); -
極簡主義者 (1.2行程式碼,14位作者,6位提交者,38個開放問題); -
當地人 (3 行程式碼,2 位作者,1 位提交者,無未解決的問題); -
qs (5.4行程式碼,5位作者,2位提交者,41個開放問題); -
可讀串流 (28行程式碼,10位作者,3位提交者,21個開放問題); -
字串解碼器 (4.2 行程式碼,4 位作者,3 位提交者,2 個開放問題)。
來自 Maven 儲存庫的 Java 庫:
-
傑克森核心 (74行程式碼,7位作者,6位提交者,40個開放問題); -
傑克森資料綁定 (74行程式碼,23位作者,2位提交者,363個開放問題); -
番石榴.git 、Google Java 函式庫(1 萬行程式碼、83 位作者、3 位提交者、620 個開放問題); -
公共解碼器 (51行程式碼,3位作者,3位提交者,29個開放問題); -
公共IO (73行程式碼,10位作者,6位提交者,148個開放問題); -
http元件客戶端 (121 萬行程式碼,16 位作者,8 位提交者,47 個開放問題); -
http元件核心 (131 萬行程式碼,15 位作者,4 位提交者,7 個開放問題); -
回溯 (154 萬行程式碼,1 位作者,2 位提交者,799 個開放問題); -
公共語言 (168 萬行程式碼,28 位作者,17 位提交者,163 個開放問題); -
slf4j (38行程式碼,4位作者,4位提交者,189個開放問題);
該報告還解決了標準化外部元件命名方案、保護開發人員帳戶以及在主要新版本發布後維護舊版本的問題。 另外由 Linux 基金會發布
該文件解決了專案中的角色分配、創建負責安全的團隊、定義安全策略、監控專案參與者擁有的權力、修復漏洞時正確使用 Git 以避免發布修復之前的洩漏、定義響應報告的流程等問題安全問題、安全測試系統的實施、程式碼審查程序的應用,在建立版本時考慮與安全相關的標準。
來源: opennet.ru