Третья редакция рейтинга библиотек, требующих особой проверки безопасности

Новости мира unix. Хотите узнать секрет вечного счастья? Откройте страницу 246.
Ответить
acolyte
Аватара пользователя
Сообщения: 3571
Зарегистрирован: 20.08.2022

#

Третья редакция рейтинга библиотек, требующих особой проверки безопасности
Дата публикации:Thu, 05 Dec 2024 15:08:52 +0300




Организация Linux Foundation совместно с Гарвардской лаборатории инноваций в науке подготовила новую редакцию исследования Census III, нацеленного на выявление наиболее широко используемых открытых проектов, нуждающихся в первоочередном аудите безопасности. В ходе исследования проведён анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев. Всего было изучено более 12 млн открытых библиотек, задействованных в приложениях, используемых в 10 тысячах различных компаний.



На основе собранной статистики сформированы списки из 500 наиболее часто используемых библиотек, безопасность и качество сопровождения которых требует особого внимания, так как уязвимости и компрометация разработчиков сторонних зависимостей, могут свести на нет все усилия по совершенствованию защиты основного продукта. Всего предложено 8 списков, содержимое в которых ранжировано в зависимости от различных критериев, таких как поставка в репозитории NPM и наличие информации о версии при определении зависимостей.



Некоторые выводы:
  • 17% из 50 наиболее популярных проектов, не представленных в репозитории NPM, имеют только одного разработчика, а 40% - одного или двух разработчиков, совершивших 80% коммитов.
    По сравнению с прошлым отчётом от 2022 года, среди важных пакетов увеличилось использование пакетов для взаимодействия с облачными сервисами.
    Продолжается перевод проектов с Python 2 на Python 3.
    Сохраняется популярность пакетов Maven и растёт использование пакетов из репозиториев PIP (Python), Cargo (Rust) и NuGet (.NET).

    Как и раньше наблюдается необходимость в использовании стандартизированных схем именования программных компонентов.

    Возросла актуальность защиты учётных записей разработчиков. Многие из наиболее востребованных пакетов размещены под учётными записями конкретных разработчиков, менее защищённых чем учётные записи созданных под проект организаций.



    20 наиболее часто используемых JavaScript-пакетов из репозитория NPM, загружаемых приложениями без привязки к версии:
    Изображение
    20 наиболее часто используемых пакетов из репозиториев, отличных от NPM, загружаемых приложениями без привязки к версии:
    Изображение


Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=62347

Жизнь за Нер'зула!

Ответить