Обновление рейтинга библиотек, требующих особой проверки безопасности15.03.2022 13:00

Фонд OpenSSF (Open Source Security Foundation), сформированный организацией Linux Foundation и нацеленный на повышение безопасности открытого ПО, опубликовал новую редакцию исследования Census II, нацеленного на выявление открытых проектов, нуждающихся в первоочередном аудите безопасности. Исследование ориентировано на анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев.

В итоге подготовлены списки из 500 наиболее часто используемых пакетов, безопасность и качество сопровождения которых требует особого внимания, так как уязвимости и компрометация разработчиков сторонних компонентов, задействованных в работе приложений (supply chain), могут свести на нет все усилия по совершенствованию защиты основного продукта. Всего предложено 8 вариантов списков, содержимое в которых ранжировано в зависимости от различных критериев, таких как поставка в репозитории NPM и наличие информации о версии при определении зависимостей.

10 наиболее часто используемых JavaScript-пакетов из репозитория NPM, загружаемых приложениями без привязки к версии:

  • lodash
  • react
  • axios
  • debug
  • @babel/core
  • express
  • semver
  • uuid
  • react-dom
  • jquery

10 наиболее часто используемых в зависимостях Python-пакетов, распространяемых через репозиторий pypi:

  • six
  • pyyaml
  • requests
  • urllib3
  • jinja2
  • python-dateutil
  • click
  • idna
  • chardet
  • markupsafe

10 наиболее часто используемых в зависимостях Ruby-пакетов, распространяемых через репозиторий RubyGems:

  • bouncy-castle-java
  • awssdk
  • rally-jasmine-core
  • aws-sdk
  • nunit
  • cscsl
  • highcharts-js-rails
  • antlr3
  • rspec
  • asmine

10 наиболее часто используемых в зависимостях Java-пакетов, распространяемых через репозиторий Maven:

  • org.slf4j: slf4j-api
  • com.fasterxml.jackson.core: jackson-databind
  • com.google.guava: guava
  • com.fasterxml.jackson.core: jackson-core
  • org.springframework: spring-framework-bom
  • com.fasterxml.jackson.core: jackson-annotations
  • commons-io: commons-io
  • junit: junit
  • org.apache.commons: commons-lang3
  • commons-codec: commons-codec

10 наиболее часто используемых в зависимостях .NET пакетов, распространяемых через репозиторий nuget:

  • json.net
  • facebook
  • modernizr
  • newtonsoft.json
  • castle.core-log4net
  • newtonsoft.json
  • castle.core-log4net
  • freqsystemdependencies
  • microsoft.extensions.caching.memory
  • microsoft.extensions.dependencyinjection.abstractions

10 наиболее часто используемых в зависимостях пакетов, распространяемых для языка Go:

  • grpc/grpc-go
  • kubernetes/client-go
  • kubernetes/apimachinery
  • kubernetes/api
  • stretchr/testify
  • kubernetes/klog
  • pkg/errors
  • spf13/cobra
  • x/net
  • prometheus/client_golang



Источник: http://www.opennet.ru/opennews/art.shtml? num=56857

Полный текст статьи читайте на OpenNet