Linux基金會成立的基金會 ,其中領先的公司聯手支持電腦行業關鍵領域的開源項目, 計劃內的第二項研究 ,旨在識別需要優先安全審核的開源專案。
第二項研究重點分析以從外部儲存庫下載的依賴項的形式在各種企業專案中隱式使用的共用開源程式碼。 涉及應用程式(供應鏈)營運的第三方組件開發人員的漏洞和妥協可能會抵消改善主要產品保護的所有努力。 研究結果是 JavaScript和Java中最常用的10個套件,其安全性和可維護性需要特別注意。
來自 npm 儲存庫的 JavaScript 庫:
- (196 萬行程式碼,11 位作者,7 位提交者,11 個開放問題);
- (3.8行程式碼,3位作者,1位提交者,3個未解決的問題);
- (317 行程式碼,3 位作者,3 位提交者,4 個開放問題);
- (2行程式碼,11位作者,11位提交者,3個未解決的問題);
- (42行程式碼,28位作者,2位提交者,30個開放問題);
- (1.2行程式碼,14位作者,6位提交者,38個開放問題);
- (3 行程式碼,2 位作者,1 位提交者,無未解決的問題);
- (5.4行程式碼,5位作者,2位提交者,41個開放問題);
- (28行程式碼,10位作者,3位提交者,21個開放問題);
- (4.2 行程式碼,4 位作者,3 位提交者,2 個開放問題)。
來自 Maven 儲存庫的 Java 庫:
- (74行程式碼,7位作者,6位提交者,40個開放問題);
- (74行程式碼,23位作者,2位提交者,363個開放問題);
- 、Google Java 函式庫(1 萬行程式碼、83 位作者、3 位提交者、620 個開放問題);
- (51行程式碼,3位作者,3位提交者,29個開放問題);
- (73行程式碼,10位作者,6位提交者,148個開放問題);
- (121 萬行程式碼,16 位作者,8 位提交者,47 個開放問題);
- (131 萬行程式碼,15 位作者,4 位提交者,7 個開放問題);
- (154 萬行程式碼,1 位作者,2 位提交者,799 個開放問題);
- (168 萬行程式碼,28 位作者,17 位提交者,163 個開放問題);
- (38行程式碼,4位作者,4位提交者,189個開放問題);
該報告還解決了標準化外部元件命名方案、保護開發人員帳戶以及在主要新版本發布後維護舊版本的問題。 另外由 Linux 基金會發布 以及為開源專案組織安全開發流程的實用建議。
該文件解決了專案中的角色分配、創建負責安全的團隊、定義安全策略、監控專案參與者擁有的權力、修復漏洞時正確使用 Git 以避免發布修復之前的洩漏、定義響應報告的流程等問題安全問題、安全測試系統的實施、程式碼審查程序的應用,在建立版本時考慮與安全相關的標準。
來源: opennet.ru