29.06.2022

Обновление рейтинга библиотек, требующих особой проверки безопасности

Фонд OpenSSF (Open Source Security Foundation), сформированный организацией Linux Foundation и нацеленный на повышение безопасности открытого ПО, опубликовал новую редакцию исследования Census II, нацеленного на выявление открытых проектов, нуждающихся в первоочередном аудите безопасности. Исследование ориентировано на анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев.

В итоге подготовлены списки из 500 наиболее часто используемых пакетов, безопасность и качество сопровождения которых требует особого внимания, так как уязвимости и компрометация разработчиков сторонних компонентов, задействованных в работе приложений (supply chain), могут свести на нет все усилия по совершенствованию защиты основного продукта. Всего предложено 8 вариантов списков, содержимое в которых ранжировано в зависимости от различных критериев, таких как поставка в репозитории NPM и наличие информации о версии при определении зависимостей.

10 наиболее часто используемых JavaScript-пакетов из репозитория NPM, загружаемых приложениями без привязки к версии:

10 наиболее часто используемых в зависимостях Python-пакетов, распространяемых через репозиторий pypi:

10 наиболее часто используемых в зависимостях Ruby-пакетов, распространяемых через репозиторий RubyGems:

10 наиболее часто используемых в зависимостях Java-пакетов, распространяемых через репозиторий Maven:

  • org.slf4j:slf4j-api
  • com.fasterxml.jackson.core:jackson-databind
  • com.google.guava:guava
  • com.fasterxml.jackson.core:jackson-core
  • org.springframework:spring-framework-bom
  • com.fasterxml.jackson.core:jackson-annotations
  • commons-io:commons-io
  • junit:junit
  • org.apache.commons:commons-lang3
  • commons-codec:commons-codec

10 наиболее часто используемых в зависимостях .NET пакетов, распространяемых через репозиторий nuget:

  • json.net
  • facebook
  • modernizr
  • newtonsoft.json
  • castle.core-log4net
  • newtonsoft.json
  • castle.core-log4net
  • freqsystemdependencies
  • microsoft.extensions.caching.memory
  • microsoft.extensions.dependencyinjection.abstractions

10 наиболее часто используемых в зависимостях пакетов, распространяемых для языка Go:

  • grpc/grpc-go
  • kubernetes/client-go
  • kubernetes/apimachinery
  • kubernetes/api
  • stretchr/testify
  • kubernetes/klog
  • pkg/errors
  • spf13/cobra
  • x/net
  • prometheus/client_golang

Источник.