Les bibliothèques les plus utilisées sont révélées – plus 10 choses que les développeurs devraient faire pour sécuriser leur code • Technologik

Avec des applications modernes désormais composées de 80 à 90% de logiciels libres et open source (FOSS), la Linux Foundation et le Laboratory for Innovation Science de l’Université Harvard (LISH) ont publié mercredi leur deuxième recensement open source pour promouvoir une meilleure sécurité et une meilleure gestion du code. les pratiques.

le premier rapport est apparu en 2015 et s’est concentré sur l’énumération des composants critiques dans la distribution Debian GNU / Linux. Le dernier, “Vulnérabilités dans le noyau, rapport préliminaire et recensement II des logiciels libres», examine les packages FOSS les plus couramment utilisés dans les applications de production en tenant compte des vulnérabilités potentielles afin que les organisations puissent développer de meilleurs outils de gestion et de sécurité.

Ces rapports font partie de la Core Infrastructure Initiative (CII) de la Linux Foundation, un projet de plusieurs millions de dollars soutenu par Amazon Web Services, Adobe, Bloomberg, Cisco, Dell, Facebook, Fujitsu, Google, Hitachi, HP, Huawei, IBM, Intel. , Microsoft, NetApp, NEC, Qualcomm, RackSpace, Salesforce.com et VMware. Le CII offre aux entreprises un moyen de financer les projets open source dont ils dépendent, comme OpenSSL.

Grâce à ces rapports, la Fondation Linux et LISH visent à promouvoir des améliorations de l’écosystème logiciel qui aideront les entreprises et les organisations à devenir plus actives dans la prévention des vulnérabilités et des attaques logicielles.

«Le rapport commence à nous donner un inventaire des logiciels partagés les plus importants et des vulnérabilités potentielles et est la première étape pour mieux comprendre ces projets afin que nous puissions créer des outils et des normes qui se traduisent par la confiance et la transparence dans les logiciels», a expliqué Jim Zemlin. , directeur exécutif de la Linux Foundation, dans un communiqué.

Un rapport complémentaire, “Sécurité de la chaîne d’approvisionnement des logiciels open source [PDF]», plaide en rappelant une série de compromis de progiciels au cours des dernières années. Il s’agit notamment« du reconditionnement en 2015 de l’IDE Xcode d’Apple pour permettre la distribution de codes malveillants; le Débâcle du “gaucher” du NPM 2016; le Typosquattage du package Python 2017 (PyPI) et incident de vol de crypto «Colourama» en 2018; et le Backdooring 2018 de la bibliothèque npm “event-stream”, entre autres.

L’objectif principal du rapport du recensement II est d’identifier les dix packages JavaScript et non JavaScript les plus utilisés, en accordant une attention aux problèmes en suspens et à la fréquence des validations de code, et de décrire les enseignements tirés.

Le top 10 JavaScript comprend:

  • Async: Pour écrire du JavaScript asynchrone.
  • Hérite: Pour implémenter l’héritage.
  • Isarray: Test de tableaux pour les anciens navigateurs.
  • En quelque sorte: Obtenir la désignation de type natif d’une valeur JavaScript.
  • Lodash: Une bibliothèque d’utilitaires.
  • Minimist: Pour analyser les options d’argument.
  • Autochtones: Donne accès aux modules JavaScript natifs de Node.js.
  • Qs: Une bibliothèque d’analyse et de chaîne de chaînes de requête.
  • Lecture en continu: Module de flux de base Node.js.
  • String_decoder: Module string_decoder Node-core.

Alors que le top 10 non JavaScript comprend:

  • Com.fasterxml.jackson.core: jackson-core: Partie de Jackson, un processeur JSON.
  • Com.fasterxml.jackson.core: jackson-databind: Un package de liaison de données pour Jackson (2.x).
  • Com.google.guava: goyave: Bibliothèques principales de Google pour Java.
  • Commons-codec: Logiciel d’encodage Apache Commons-Codec.
  • Commons-io: Une bibliothèque d’utilitaires pour les opérations d’E / S.
  • Httpcomponents-client: Composants Java de bas niveau axés sur HTTP.
  • Httpcomponents-core: Composants Java de bas niveau axés sur HTTP.
  • Logback-core: Un cadre de journalisation Java.
  • Org.apache.commons: commons-lang3: Un package de classes d’utilitaires Java.
  • Slf4j: Une abstraction du cadre de journalisation Java.

Le rapport aborde diverses conclusions, en particulier la nécessité d’un schéma de dénomination normalisé pour les composants logiciels (afin que tout le monde comprenne le code spécifique en cours de discussion), l’importance de la sécurité des comptes des développeurs (afin que les identités et les packages ne puissent pas être piratés), et le défi de gérer le code hérité (car le passage à un package révisé peut ne pas être un processus facile).

Un deuxième rapport complémentaire, “Améliorer la confiance et la sécurité dans les projets Open Source” [PDF] offre des conseils concrets sur la façon de traiter les questions soulevées dans les deux autres publications. Ces meilleures pratiques comprennent:

  • Définition des rôles et responsabilités dans les équipes de sécurité.
  • Avoir et communiquer une politique de sécurité.
  • Identifier les contributeurs du projet et attribuer des autorisations de portée appropriée.
  • Utilisation appropriée de git pour gérer les problèmes de sécurité et autres problèmes liés à la chaîne d’outils.
  • Tenir à jour les documents techniques de sécurité
  • Avoir des manuels de réponse aux incidents et de gestion des vulnérabilités.
  • Mettre en œuvre des procédures de test de sécurité et de révision du code.
  • Définition des critères de libération sécurisée.

«Des centaines de milliers de progiciels open source sont présents dans les applications de production tout au long de la chaîne d’approvisionnement, donc comprendre ce que nous devons évaluer pour détecter les vulnérabilités est la première étape pour assurer la sécurité et la durabilité à long terme des logiciels open source», a déclaré Zemlin. ®

Sponsorisé:
Exploiter la valeur des données

Source

A propos admin

Découvrez également

Changements de carte et POI de la saison 2 de Fortnite révélés

Jetez un œil à toutes les modifications de la carte Fortnite Saison 2 ici. La …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *