Рейтинг библиотек, требующих особой проверки безопасности
Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, провёл второе исследование в рамках программы Census, нацеленной на выявление открытых проектов, нуждающихся в первоочередном аудите безопасности.
Уязвимости и компрометация разработчиков сторонних компонентов, задействованных в работе приложений (supply chain), могут свести на нет все усилия по совершенствованию защиты основного продукта. Второе исследование ориентировано на анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев. В результате исследования было определено 10 наиболее часто используемых пакетов на JavaScript и Java, безопасность и активность сопровождения которых требует особого внимания.
Дополнительно организацией Linux Foundation опубликован документ с практическими рекомендациями по организации безопасного процесса разработки открытых проектов. В отчёте также рассмотрены вопросы стандартизации схемы наименования внешних компонентов, защиты учётных записей разработчиков и поддержания устаревших версий после формирования новых значительных выпусков.
Источник: http://www.opennet.ru/opennews/art.shtml? В документе рассмотрены вопросы распределения ролей в проекте, создания команд, отвечающих за безопасность, определения политики безопасности, слежения за полномочиями, которые имеют участники проекта, корректного использования Git при исправлении уязвимостей для избежания утечек до публикации исправления, определения процессов реагирования на сообщения о проблемах с безопасностью, внедрения систем тестирования безопасности, применения процедур рецензирования кода, учёта связанных с безопасностью критериев при формировании релизов. num=52415
Уязвимости и компрометация разработчиков сторонних компонентов, задействованных в работе приложений (supply chain), могут свести на нет все усилия по совершенствованию защиты основного продукта. Второе исследование ориентировано на анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев. В результате исследования было определено 10 наиболее часто используемых пакетов на JavaScript и Java, безопасность и активность сопровождения которых требует особого внимания.
Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, провёл второе исследование в рамках программы Census, нацеленной на выявление открытых проектов, нуждающихся в первоочередном аудите безопасности.
Источник: http://www.opennet.ru/opennews/art.shtml? В документе рассмотрены вопросы распределения ролей в проекте, создания команд, отвечающих за безопасность, определения политики безопасности, слежения за полномочиями, которые имеют участники проекта, корректного использования Git при исправлении уязвимостей для избежания утечек до публикации исправления, определения процессов реагирования на сообщения о проблемах с безопасностью, внедрения систем тестирования безопасности, применения процедур рецензирования кода, учёта связанных с безопасностью критериев при формировании релизов. num=52415
Дополнительно организацией Linux Foundation опубликован документ с практическими рекомендациями по организации безопасного процесса разработки открытых проектов. В отчёте также рассмотрены вопросы стандартизации схемы наименования внешних компонентов, защиты учётных записей разработчиков и поддержания устаревших версий после формирования новых значительных выпусков.
Дата публикации: 22-02-2020
Ещё новости
27.08.2022 На Украине создан робот-камикадзе с противотанковой миной. Им можно управлять с расстояния около трех километров
Робот-камикадзе получил название Gnome Kamikaze. На Украине заявили о создании наземного робота, который может нести противотанковую мину. В грузовом отсеке робота находится противотанковая мина типа ТМ-62...
27.08.2022 Марк Цукерберг не разделяет оптимизм Илона Маска по поводу чипирования людей
В интервью блогеру Джо Рогану бизнесмен Цукерберг идею: он сомневается, что каждый человек захочет иметь чип в своем мозгу. Глава Meta (в России признана экстремистской организацией) Марк Цукерберг заявил,...
27.08.2022 Hyundai обновила Solaris первого поколения. Да так, что он выглядит лучше второго
И вот корейская компания на днях представила обновленный HB20S, который сильно преобразился как снаружи, так и внутри. В Бразилии у Hyundai есть модель HB20S — аналог российского Solaris, причем...
26.08.2022 Криптобиржа Binance заблокировала счёт с цифровыми активами на сумму $ 1 млн
Список проектов не ограничен экосистемой Tezos и достаточно большой, его можно посмотреть на официальном сайте. Baking Bad — команда блокчейн разработчиков и крипто энтузиастов, известная в криптосообществе...
27.08.2022 Как заснуть в поезде: полезные идеи от покупки билета до списка вещей
Тем не менее, остаётся довольно большой набор других приёмов. В поезде недоступны самые эффективные техники засыпания, такие, как АСМР или релаксационная музыка. Пробуя их в разных сочетаниях, можно подобрать...
Все новости