Третья редакция рейтинга библиотек, требующих особой проверки безопасности

Организация Linux Foundation совместно с Гарвардской лаборатории инноваций в науке подготовила новую редакцию исследования Census III, нацеленного на выявление наиболее широко используемых открытых проектов, нуждающихся в первоочередном аудите безопасности. В ходе исследования проведён анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев. Всего было изучено более 12 млн открытых библиотек, задействованных в приложениях, используемых в 10 тысячах различных компаний.

На основе собранной статистики сформированы списки из 500 наиболее часто используемых библиотек, безопасность и качество сопровождения которых требует особого внимания, так как уязвимости и компрометация разработчиков сторонних зависимостей, могут свести на нет все усилия по совершенствованию защиты основного продукта. Всего предложено 8 списков, содержимое в которых ранжировано в зависимости от различных критериев, таких как поставка в репозитории NPM и наличие информации о версии при определении зависимостей.

Некоторые выводы:

  • 17% из 50 наиболее популярных проектов, не представленных в репозитории NPM, имеют только одного разработчика, а 40% — одного или двух разработчиков, совершивших 80% коммитов.
  • По сравнению с прошлым отчётом от 2022 года, среди важных пакетов увеличилось использование пакетов для взаимодействия с облачными сервисами.
  • Продолжается перевод проектов с Python 2 на Python 3.
  • Сохраняется популярность пакетов Maven и растёт использование пакетов из репозиториев PIP (Python), Cargo (Rust) и NuGet (.NET).
  • Как и раньше наблюдается необходимость в использовании стандартизированных схем именования программных компонентов.
  • Возросла актуальность защиты учётных записей разработчиков. Многие из наиболее востребованных пакетов размещены под учётными записями конкретных разработчиков, менее защищённых чем учётные записи созданных под проект организаций.
  • 20 наиболее часто используемых JavaScript-пакетов из репозитория NPM, загружаемых приложениями без привязки к версии:

  • 20 наиболее часто используемых пакетов из репозиториев, отличных от NPM, загружаемых приложениями без привязки к версии:

Источник: http://www.opennet.ru/opennews/art.shtml?num=62347