Обновление рейтинга библиотек, требующих особой проверки безопасности

Фонд OpenSSF (Open Source Security Foundation), сформированный организацией Linux Foundation и нацеленный на повышение безопасности открытого ПО, опубликовал новую редакцию исследования Census II, нацеленного на выявление открытых проектов, нуждающихся в первоочередном аудите безопасности. Исследование ориентировано на анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев.

В итоге подготовлены списки из 500 наиболее часто используемых пакетов, безопасность и качество сопровождения которых требует особого внимания, так как уязвимости и компрометация разработчиков сторонних компонентов, задействованных в работе приложений (supply chain), могут свести на нет все усилия по совершенствованию защиты основного продукта. Всего предложено 8 вариантов списков, содержимое в которых ранжировано в зависимости от различных критериев, таких как поставка в репозитории NPM и наличие информации о версии при определении зависимостей.

10 наиболее часто используемых JavaScript-пакетов из репозитория NPM, загружаемых приложениями без привязки к версии:

• lodash
• react
• axios
• debug
• @babel/core
• express
• semver
• uuid
• react-dom
• jquery

10 наиболее часто используемых в зависимостях Python-пакетов, распространяемых через репозиторий pypi:

• six
• pyyaml
• requests
• urllib3
• jinja2
• python-dateutil
• click
• idna
• chardet
• markupsafe

10 наиболее часто используемых в зависимостях Ruby-пакетов, распространяемых через репозиторий RubyGems:

• bouncy-castle-java
• awssdk
• rally-jasmine-core
• aws-sdk
• nunit
• cscsl
• highcharts-js-rails
• antlr3
• rspec
• asmine

10 наиболее часто используемых в зависимостях Java-пакетов, распространяемых через репозиторий Maven:

• org.slf4j:slf4j-api
• com.fasterxml.jackson.core:jackson-databind
• com.google.guava:guava
• com.fasterxml.jackson.core:jackson-core
• org.springframework:spring-framework-bom
• com.fasterxml.jackson.core:jackson-annotations
• commons-io:commons-io
• junit:junit
• org.apache.commons:commons-lang3
• commons-codec:commons-codec

10 наиболее часто используемых в зависимостях .NET пакетов, распространяемых через репозиторий nuget:

• json.net
• facebook
• modernizr
• newtonsoft.json
• castle.core-log4net
• newtonsoft.json
• castle.core-log4net
• freqsystemdependencies
• microsoft.extensions.caching.memory
• microsoft.extensions.dependencyinjection.abstractions

10 наиболее часто используемых в зависимостях пакетов, распространяемых для языка Go:

• grpc/grpc-go
• kubernetes/client-go
• kubernetes/apimachinery
• kubernetes/api
• stretchr/testify
• kubernetes/klog
• pkg/errors
• spf13/cobra
• x/net
• prometheus/client_golang