Linux Foundation和LISH发布了最新的开源普查,并提出了提高安全性的建议

Linux Foundation和LISH发布了最新的开源普查,并提出了提高安全性的建议
科技类 Forge媒体的编辑。在全球技术会议上经常看到一只手握着咖啡,另一只手握着笔记本电脑。如果它令人讨厌,我可能会喜欢上它。

哈佛大学(LISH)的Linux基础和创新科学实验室已经发布了最新的开源普查,其中包含一些有趣的发现。

人口普查现在是第二版,它检查了开源软件的当前状态。最新的报告标题为“核心漏洞,开放源软件的初步报告和普查II,"专注于生产应用程序中使用的通用免费和开源软件(FOSS)。

Linux基金会执行董事Jim Zemlin表示:

“人口普查II报告解决了我们面临的一些最重要的问题,因为我们试图了解全球供应链中开源软件包和组件之间的复杂性和相互依赖性。

该报告开始向我们提供最重要的共享软件和潜在漏洞的清单,并且是了解更多有关这些项目的第一步,以便我们可以创建工具和标准以实现软件的信任和透明。”

该报告确定了十大最受欢迎的JavaScript库:

  • 异步:提供简单,强大的功能来处理异步JavaScript。

  • 继承:与浏览器友好的继承与标准的node.js继承完全兼容。

  • Isarray:适用于旧版浏览器和不建议使用的Node.js版本的Array#isArray

  • 种类:抓取值的本机JavaScript类型。

  • Lodash:现代的JavaScript实用程序库,提供模块化,高性能& extras.

  • 简约:分析参数选项。

  • 本机:启用与Node.js的交互’的本机JavaScript模块。

  • 问:一个带有一些附加安全性的querystring解析和字符串化库。

  • 可读流:Userland的Node.js核心流。

  • String_decoder:用户区的节点核心string_decoder。 

以及十大非JavaScript库:

  • Com.fasterxml.jackson.core:jackson-core:Jackson的核心部分,它定义了Streaming API 以及基本的共享抽象。

  • Com.fasterxml.jackson.core:jackson-databind:用于Jackson(2.x)的常规数据绑定程序包

  • Com.google.guava:guava:Java的Google核心库。

  • Commons-codec:Apache Commons-Codec编码软件。

  • Commons-io:用于IO操作的实用程序库。

  • Httpcomponents-client:负责创建和维护专注于HTTP和相关协议的低级Java组件的工具集。  

  • Httpcomponents-core:负责创建和维护专注于HTTP和相关协议的低级Java组件的工具集。 

  • Logback-core:Java日志记录框架。

  • Org.apache.commons:commons-lang3:Java实用程序类的软件包,用于java.lang中的类’s hierarchy.

  • Slf4j:Java的简单日志记录外观。

现代应用包括 FOSS超过80%,强调了确保使用良好的代码和安全性实践的重要性。

人口普查报告是数以百万计的Linux基础核心基础架构计划(CII)的一部分,该计划有助于资助开源项目。如果怀疑该行业对数百万CII的重要性,该项目将得到Microsoft,Amazon Web Services,Google,华为,IBM,Qualcomm,Intel,Facebook等公司的支持。

CII诞生于2014年在OpenSSL加密库中发现的Heartbleed安全漏洞之后。 估计 使受Heartbleed影响的Web服务器数量达到50万,或接近20%。

“开源是当今不可否认且至关重要的部分’经济,这是我们大多数全球贸易的基础。整个供应链中的生产应用程序中都有成千上万个开源软件包,因此,了解我们需要评估的漏洞是确保开源软件的长期安全性和可持续性的第一步,” said Zemlin.

随附的报告提供有关如何应对人口普查出版物中提出的问题的建议。报告涵盖的八个最佳实践是:

  • 角色和责任。

  • 安全策略。

  • 了解您的贡献者。

  • 软件供应链。

  • 技术安全指导。

  • 安全手册。

  • 安全测试。

  • 安全发布和更新。

您可以找到完整的伴随报告,标题为"改善开源项目中的信任和安全性,” 这里 (PDF)。

有兴趣听行业领导者讨论这样的话题并分享用例吗? 参加同居  5G博览会 物联网技术博览会, 区块链博览会, 人工智能 & 大数据 Expo 和  网络安全& 云 Expo 世界大赛即将在硅谷,伦敦和阿姆斯特丹举行。

查看评论
发表评论

发表评论

您的电子邮件地址不会被公开。 必需的地方已做标记 *