Обновление рейтинга библиотек, требующих особой проверки безопасности
Автор
Сообщение
news_bot ®
Стаж: 7 лет 2 месяца
Сообщений: 27286
Фонд OpenSSF (Open Source Security Foundation), сформированный организацией Linux Foundation и нацеленный на повышение безопасности открытого ПО, опубликовал новую редакцию исследования Census II, нацеленного на выявление открытых проектов, нуждающихся в первоочередном аудите безопасности. Исследование ориентировано на анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев.
В итоге подготовлены списки из 500 наиболее часто используемых пакетов, безопасность и качество сопровождения которых требует особого внимания, так как уязвимости и компрометация разработчиков сторонних компонентов, задействованных в работе приложений (supply chain), могут свести на нет все усилия по совершенствованию защиты основного продукта. Всего предложено 8 вариантов списков, содержимое в которых ранжировано в зависимости от различных критериев, таких как поставка в репозитории NPM и наличие информации о версии при определении зависимостей.
10 наиболее часто используемых JavaScript-пакетов из репозитория NPM, загружаемых приложениями без привязки к версии:
10 наиболее часто используемых в зависимостях Python-пакетов, распространяемых через репозиторий pypi:
10 наиболее часто используемых в зависимостях Ruby-пакетов, распространяемых через репозиторий RubyGems:
- bouncy-castle-java
- awssdk
- rally-jasmine-core
- aws-sdk
- nunit
- cscsl
- highcharts-js-rails
- antlr3
- rspec
- asmine
10 наиболее часто используемых в зависимостях Java-пакетов, распространяемых через репозиторий Maven:
- org.slf4j:slf4j-api
- com.fasterxml.jackson.core:jackson-databind
- com.google.guava:guava
- com.fasterxml.jackson.core:jackson-core
- org.springframework:spring-framework-bom
- com.fasterxml.jackson.core:jackson-annotations
- commons-io:commons-io
- junit:junit
- org.apache.commons:commons-lang3
- commons-codec:commons-codec
10 наиболее часто используемых в зависимостях .NET пакетов, распространяемых через репозиторий nuget:
- json.net
- facebook
- modernizr
- newtonsoft.json
- castle.core-log4net
- newtonsoft.json
- castle.core-log4net
- freqsystemdependencies
- microsoft.extensions.caching.memory
- microsoft.extensions.dependencyinjection.abstractions
10 наиболее часто используемых в зависимостях пакетов, распространяемых для языка Go:
- grpc/grpc-go
- kubernetes/client-go
- kubernetes/apimachinery
- kubernetes/api
- stretchr/testify
- kubernetes/klog
- pkg/errors
- spf13/cobra
- x/net
- prometheus/client_golang
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.linuxfoundation.or...)
- OpenNews: Рейтинг библиотек, требующих особой проверки безопасности
- OpenNews: Инициатива Alpha-Omega, нацеленная на повышение безопасности 10 тысяч открытых проектов
- OpenNews: Google выделил миллион долларов на работу по повышению безопасности открытого ПО
- OpenNews: Сформирован рейтинг СПО, требующего первоочередного аудита безопасности
- OpenNews: Google представил рейтинг критически важных открытых проектов
Похожие новости:
- Инициатива Alpha-Omega, нацеленная на повышение безопасности 10 тысяч открытых проектов
- Фонд повышения безопасности открытого ПО получил финансирование, размером 10 млн долларов
- Google представил рейтинг критически важных открытых проектов
- Учреждён проект OpenSSF, сфокусированный на повышении безопасности открытого ПО
- [Системное администрирование, Серверное администрирование, DevOps] Слияние OpenTracing и OpenCensus: путь к конвергенции (перевод)
Теги для поиска: #_census, #_openssf
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 27-Апр 20:06
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 7 лет 2 месяца |
|
|
Фонд OpenSSF (Open Source Security Foundation), сформированный организацией Linux Foundation и нацеленный на повышение безопасности открытого ПО, опубликовал новую редакцию исследования Census II, нацеленного на выявление открытых проектов, нуждающихся в первоочередном аудите безопасности. Исследование ориентировано на анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев. В итоге подготовлены списки из 500 наиболее часто используемых пакетов, безопасность и качество сопровождения которых требует особого внимания, так как уязвимости и компрометация разработчиков сторонних компонентов, задействованных в работе приложений (supply chain), могут свести на нет все усилия по совершенствованию защиты основного продукта. Всего предложено 8 вариантов списков, содержимое в которых ранжировано в зависимости от различных критериев, таких как поставка в репозитории NPM и наличие информации о версии при определении зависимостей. 10 наиболее часто используемых JavaScript-пакетов из репозитория NPM, загружаемых приложениями без привязки к версии: 10 наиболее часто используемых в зависимостях Python-пакетов, распространяемых через репозиторий pypi: 10 наиболее часто используемых в зависимостях Ruby-пакетов, распространяемых через репозиторий RubyGems:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 27-Апр 20:06
Часовой пояс: UTC + 5