The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление рейтинга библиотек, требующих особой проверки безопасности

15.03.2022 12:40

Фонд OpenSSF (Open Source Security Foundation), сформированный организацией Linux Foundation и нацеленный на повышение безопасности открытого ПО, опубликовал новую редакцию исследования Census II, нацеленного на выявление открытых проектов, нуждающихся в первоочередном аудите безопасности. Исследование ориентировано на анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев.

В итоге подготовлены списки из 500 наиболее часто используемых пакетов, безопасность и качество сопровождения которых требует особого внимания, так как уязвимости и компрометация разработчиков сторонних компонентов, задействованных в работе приложений (supply chain), могут свести на нет все усилия по совершенствованию защиты основного продукта. Всего предложено 8 вариантов списков, содержимое в которых ранжировано в зависимости от различных критериев, таких как поставка в репозитории NPM и наличие информации о версии при определении зависимостей.

10 наиболее часто используемых JavaScript-пакетов из репозитория NPM, загружаемых приложениями без привязки к версии:

10 наиболее часто используемых в зависимостях Python-пакетов, распространяемых через репозиторий pypi:

10 наиболее часто используемых в зависимостях Ruby-пакетов, распространяемых через репозиторий RubyGems:

10 наиболее часто используемых в зависимостях Java-пакетов, распространяемых через репозиторий Maven:

  • org.slf4j:slf4j-api
  • com.fasterxml.jackson.core:jackson-databind
  • com.google.guava:guava
  • com.fasterxml.jackson.core:jackson-core
  • org.springframework:spring-framework-bom
  • com.fasterxml.jackson.core:jackson-annotations
  • commons-io:commons-io
  • junit:junit
  • org.apache.commons:commons-lang3
  • commons-codec:commons-codec

10 наиболее часто используемых в зависимостях .NET пакетов, распространяемых через репозиторий nuget:

  • json.net
  • facebook
  • modernizr
  • newtonsoft.json
  • castle.core-log4net
  • newtonsoft.json
  • castle.core-log4net
  • freqsystemdependencies
  • microsoft.extensions.caching.memory
  • microsoft.extensions.dependencyinjection.abstractions

10 наиболее часто используемых в зависимостях пакетов, распространяемых для языка Go:

  • grpc/grpc-go
  • kubernetes/client-go
  • kubernetes/apimachinery
  • kubernetes/api
  • stretchr/testify
  • kubernetes/klog
  • pkg/errors
  • spf13/cobra
  • x/net
  • prometheus/client_golang


  1. Главная ссылка к новости (https://www.linuxfoundation.or...)
  2. OpenNews: Рейтинг библиотек, требующих особой проверки безопасности
  3. OpenNews: Инициатива Alpha-Omega, нацеленная на повышение безопасности 10 тысяч открытых проектов
  4. OpenNews: Google выделил миллион долларов на работу по повышению безопасности открытого ПО
  5. OpenNews: Сформирован рейтинг СПО, требующего первоочередного аудита безопасности
  6. OpenNews: Google представил рейтинг критически важных открытых проектов
Лицензия: CC-BY
Тип: Обобщение
Короткая ссылка: https://opennet.ru/56857-census
Ключевые слова: census, openssf
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (30) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:54, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    "Сформирован список языков, которые нежелательно использовать".
     
     
  • 2.4, Аноним (4), 13:11, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не понял, что там про голанг сказал?!11111
     
     
  • 3.11, Аноним (-), 15:04, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    goo... goooo.... gooooooogle
     
     
  • 4.13, Жироватт (ok), 15:23, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    goooo... goooogl... gooolll... gooolag!
     
     
  • 5.23, Аноним (23), 10:43, 16/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    У тебя походу буфер переполнился или ты сломал систему
     
  • 2.27, fi (ok), 11:56, 16/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Странно, что же действительно на C нет ни одной дырявой библиотеке )))))
     

  • 1.2, Жироватт (ok), 12:58, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > 10 наиболее часто используемых в зависимостях .NET пакетов, распространяемых через репозиторий nuget:
    > json.net
    > facebook

    Никлаус, мы все про**али...

     
     
  • 2.9, Аноним (-), 14:17, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Никлаус Вирт тут не причём. Си-шарп разработал его ученик - Андерс Хейсберг.
     
     
  • 3.14, Аноним (1), 15:44, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    у этого ученика фатальный недостаток: нету бороды.
     
     
  • 4.24, Аноним (23), 10:45, 16/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У Страуструпа даже нет места где она была бы должна была расти.
     
     
  • 5.29, Аноним (29), 21:02, 16/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаешь у Страуструпа в области паха есть борода? Всё таки C++ взлетел же?!
     
  • 3.22, Брат Анон (ok), 08:09, 16/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не гони. Хайлсберг никогда не был его учеником.

    Роберт Гризмер, Клеменс Шиперски, Микаель Франц. Эти были.

     

  • 1.3, Аноним (4), 13:11, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Спасибо за список gовна, теперь знаю, что использовать точно не стоит
     
  • 1.5, user90 (?), 13:15, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Отборный трешак перечислен чота)
     
  • 1.6, Аноним (6), 13:18, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот не понимаю почему requests не входит в базовую поставку Python
     
     
  • 2.10, Аноним (10), 14:39, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дерьмовая либа потому что. В мультипотоке легко проигрывает pycurl, но тот можно засегфолить не напрягаясь и он тоже не асинхронный. Чем меньше дряни в стандартной библиотеке, тем лучше.
     

  • 1.7, Аноним (1), 13:42, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > facebook
    > microsoft

    Повеселили от души!

     
  • 1.8, OramahMaalhur (ok), 13:57, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А какой толк с "топ 10", если вот эти пакеты обычно в связке идут, да и зачастую 2 последние подтягиваются как транзитивные зависимости databind:
    > com.fasterxml.jackson.core:jackson-databind
    > com.fasterxml.jackson.core:jackson-core
    > com.fasterxml.jackson.core:jackson-annotations
     
     
  • 2.12, Аноним (12), 15:20, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Бот зависимости посчитал, менегер новость запостил. А что там вышло - да фиг его знает. Все одно всем фиолетово и никто аудитом безопасности заниматься не будет.
     
  • 2.28, жявамэн (ok), 18:17, 16/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А то что от спринга там бомка?
    Этож потешная потеха лол
     

  • 1.15, Аноним (15), 15:50, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И ожидалось еще: для C, Cpp. Вообще, можно по агрегаторам снять статистику часто обновляемых пакетов - самое то.
     
  • 1.16, Аноним (16), 17:16, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    с каких пор набор текстовых js/python/ruby файлов называют библиотекой?
     
     
  • 2.18, Аноним (18), 17:30, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Только бумажные книги на деревянных полках!
    Надо накапливать углерод, а не кремний!
     

  • 1.19, Аноним (19), 20:11, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Очевидно, на Сях не бывает пакетов, а пакеты на расте не требуют проверки безопасности.
     
     
  • 2.20, Аноним (1), 22:39, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    когда нет пакетов - не требуется и проверка.
     
     
  • 3.25, Аноним (23), 10:46, 16/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Когда святой дух раста защищает твои библиотеки проверки не нужны. А сам факт проверки является ересью.
     

  • 1.21, Аноним (21), 23:05, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >> newtonsoft.json
    >> castle.core-log4net
    >> newtonsoft.json
    >> castle.core-log4net

    Там в нугете фишинговые пакеты на надёжность проверять предлагают.

     
     
  • 2.26, Аноним (23), 10:48, 16/03/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Решили что для отчета надо 10 библиотек. Но в .NET всего 8 библиотек в использовании решили две два раза написать.  
     

  • 1.30, InuYasha (??), 10:53, 17/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Г-но какое-то... ничего не понимаю. Надо проверять USB,Eth-stack, драйверы ФС и какой-нибудь QtCore. А эти смузиотрыжки оставить гнить в покое.
     
  • 1.31, Аноним (31), 07:15, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А теми временем в попенсорсе кипит нехилая борьба:
    https://github.com/vuejs/vue-cli/issues/7054
    https://github.com/RIAEvangelist/node-ipc/issues/233
    https://github.com/medikoo/es5-ext/commit/28de285ed433b45113

    https://docs.google.com/spreadsheets/d/1H3xPB4PgWeFcHjZ7NOPtrcya_Ua4jUolWm-7z9 кому надо больше вкусняшки.

    Обновляйтесь смело, это вам не клятая проприетарь, ага

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру