Обновление рейтинга библиотек, требующих особой проверки безопасности

15.03.2022 12:40

Фонд OpenSSF (Open Source Security Foundation), сформированный организацией Linux Foundation и нацеленный на повышение безопасности открытого ПО, опубликовал новую редакцию исследования Census II, нацеленного на выявление открытых проектов, нуждающихся в первоочередном аудите безопасности. Исследование ориентировано на анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев.

В итоге подготовлены списки из 500 наиболее часто используемых пакетов, безопасность и качество сопровождения которых требует особого внимания, так как уязвимости и компрометация разработчиков сторонних компонентов, задействованных в работе приложений (supply chain), могут свести на нет все усилия по совершенствованию защиты основного продукта. Всего предложено 8 вариантов списков, содержимое в которых ранжировано в зависимости от различных критериев, таких как поставка в репозитории NPM и наличие информации о версии при определении зависимостей.

10 наиболее часто используемых JavaScript-пакетов из репозитория NPM, загружаемых приложениями без привязки к версии:

10 наиболее часто используемых в зависимостях Python-пакетов, распространяемых через репозиторий pypi:

10 наиболее часто используемых в зависимостях Ruby-пакетов, распространяемых через репозиторий RubyGems:

10 наиболее часто используемых в зависимостях Java-пакетов, распространяемых через репозиторий Maven:

org.slf4j:slf4j-api
com.fasterxml.jackson.core:jackson-databind
com.google.guava:guava
com.fasterxml.jackson.core:jackson-core
org.springframework:spring-framework-bom
com.fasterxml.jackson.core:jackson-annotations
commons-io:commons-io
junit:junit
org.apache.commons:commons-lang3
commons-codec:commons-codec

10 наиболее часто используемых в зависимостях .NET пакетов, распространяемых через репозиторий nuget:

json.net
facebook
modernizr
newtonsoft.json
castle.core-log4net
newtonsoft.json
castle.core-log4net
freqsystemdependencies
microsoft.extensions.caching.memory
microsoft.extensions.dependencyinjection.abstractions

10 наиболее часто используемых в зависимостях пакетов, распространяемых для языка Go:

grpc/grpc-go
kubernetes/client-go
kubernetes/apimachinery
kubernetes/api
stretchr/testify
kubernetes/klog
pkg/errors
spf13/cobra
x/net
prometheus/client_golang

исправить +6 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/56857-census

Ключевые слова: census, openssf

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (30)

1.1, Аноним (1), 12:54, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]	+11 +/–
"Сформирован список языков, которые нежелательно использовать".

2.4, Аноним (4), 13:11, 15/03/2022 [^] [^^] [^^^] [ответить]	+/–
Не понял, что там про голанг сказал?!11111

3.11, Аноним (-), 15:04, 15/03/2022 [^] [^^] [^^^] [ответить]	+1 +/–
goo... goooo.... gooooooogle

4.13, Жироватт (ok), 15:23, 15/03/2022 [^] [^^] [^^^] [ответить]	+2 +/–
goooo... goooogl... gooolll... gooolag!

5.23, Аноним (23), 10:43, 16/03/2022 [^] [^^] [^^^] [ответить]	+/–
У тебя походу буфер переполнился или ты сломал систему

2.27, fi (ok), 11:56, 16/03/2022 [^] [^^] [^^^] [ответить]	+2 +/–
Странно, что же действительно на C нет ни одной дырявой библиотеке )))))

1.2, Жироватт (ok), 12:58, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
> 10 наиболее часто используемых в зависимостях .NET пакетов, распространяемых через репозиторий nuget: > json.net > facebook Никлаус, мы все про**али...

2.9, Аноним (-), 14:17, 15/03/2022 [^] [^^] [^^^] [ответить]	–2 +/–
Никлаус Вирт тут не причём. Си-шарп разработал его ученик - Андерс Хейсберг.

3.14, Аноним (1), 15:44, 15/03/2022 [^] [^^] [^^^] [ответить]	+/–
у этого ученика фатальный недостаток: нету бороды.

4.24, Аноним (23), 10:45, 16/03/2022 [^] [^^] [^^^] [ответить]	+1 +/–
У Страуструпа даже нет места где она была бы должна была расти.

5.29, Аноним (29), 21:02, 16/03/2022 [^] [^^] [^^^] [ответить]	+/–
Не знаешь у Страуструпа в области паха есть борода? Всё таки C++ взлетел же?!

3.22, Брат Анон (ok), 08:09, 16/03/2022 [^] [^^] [^^^] [ответить]	+/–
Не гони. Хайлсберг никогда не был его учеником. Роберт Гризмер, Клеменс Шиперски, Микаель Франц. Эти были.

1.3, Аноним (4), 13:11, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Спасибо за список gовна, теперь знаю, что использовать точно не стоит

1.5, user90 (?), 13:15, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Отборный трешак перечислен чота)

1.6, Аноним (6), 13:18, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вот не понимаю почему requests не входит в базовую поставку Python

2.10, Аноним (10), 14:39, 15/03/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Дерьмовая либа потому что. В мультипотоке легко проигрывает pycurl, но тот можно засегфолить не напрягаясь и он тоже не асинхронный. Чем меньше дряни в стандартной библиотеке, тем лучше.

1.7, Аноним (1), 13:42, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> facebook > microsoft Повеселили от души!

1.8, OramahMaalhur (ok), 13:57, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А какой толк с "топ 10", если вот эти пакеты обычно в связке идут, да и зачастую 2 последние подтягиваются как транзитивные зависимости databind: > com.fasterxml.jackson.core:jackson-databind > com.fasterxml.jackson.core:jackson-core > com.fasterxml.jackson.core:jackson-annotations

2.12, Аноним (12), 15:20, 15/03/2022 [^] [^^] [^^^] [ответить]	+4 +/–
Бот зависимости посчитал, менегер новость запостил. А что там вышло - да фиг его знает. Все одно всем фиолетово и никто аудитом безопасности заниматься не будет.

2.28, жявамэн (ok), 18:17, 16/03/2022 [^] [^^] [^^^] [ответить]	+/–
А то что от спринга там бомка? Этож потешная потеха лол

1.15, Аноним (15), 15:50, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
И ожидалось еще: для C, Cpp. Вообще, можно по агрегаторам снять статистику часто обновляемых пакетов - самое то.

1.16, Аноним (16), 17:16, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
с каких пор набор текстовых js/python/ruby файлов называют библиотекой?

2.18, Аноним (18), 17:30, 15/03/2022 [^] [^^] [^^^] [ответить]	+/–
Только бумажные книги на деревянных полках! Надо накапливать углерод, а не кремний!

1.19, Аноним (19), 20:11, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Очевидно, на Сях не бывает пакетов, а пакеты на расте не требуют проверки безопасности.

2.20, Аноним (1), 22:39, 15/03/2022 [^] [^^] [^^^] [ответить]	+1 +/–
когда нет пакетов - не требуется и проверка.

3.25, Аноним (23), 10:46, 16/03/2022 [^] [^^] [^^^] [ответить]	+/–
Когда святой дух раста защищает твои библиотеки проверки не нужны. А сам факт проверки является ересью.

1.21, Аноним (21), 23:05, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>> newtonsoft.json >> castle.core-log4net >> newtonsoft.json >> castle.core-log4net Там в нугете фишинговые пакеты на надёжность проверять предлагают.

2.26, Аноним (23), 10:48, 16/03/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Решили что для отчета надо 10 библиотек. Но в .NET всего 8 библиотек в использовании решили две два раза написать.

1.30, InuYasha (??), 10:53, 17/03/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Г-но какое-то... ничего не понимаю. Надо проверять USB,Eth-stack, драйверы ФС и какой-нибудь QtCore. А эти смузиотрыжки оставить гнить в покое.

1.31, Аноним (31), 07:15, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]

+/–

А теми временем в попенсорсе кипит нехилая борьба:
https://github.com/vuejs/vue-cli/issues/7054
https://github.com/RIAEvangelist/node-ipc/issues/233
https://github.com/medikoo/es5-ext/commit/28de285ed433b45113

https://docs.google.com/spreadsheets/d/1H3xPB4PgWeFcHjZ7NOPtrcya_Ua4jUolWm-7z9 кому надо больше вкусняшки.

Обновляйтесь смело, это вам не клятая проприетарь, ага

игнорирование участников | лог модерирования

Добавить комментарий

Текст: