Июл 11, 2015 - 0 Comments - Интересно -

Сформирован рейтинг СПО, требующего первоочередного аудита безопасности

Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, представил проект Census. Задачей проекта является выявление открытых проектов, нуждающихся в первоочередном аудите кодовой базы и оценке защищённости.

Для выявления подобных проектов сформирован рейтинг, который учитывает различные составляющие, такие как число выявленных уязвимостей, размер активного сообщества разработчиков, наличие отдельного сайта, популярность и важность приложения, заимствование кода в других проектах, число задействованных в работе зависимостей, число дополнительных патчей в deb-пакете, статистику ABRT о крахах. После оценки всех имеющихся метрик для каждого проекта рассчитывается степень риска. Например, наибольший уровень риска будет присвоен проектам, поддерживаемым несколькими разработчиками, имеющими известные уязвимости в прошлом и активно применяемые для построения сетевых сервисов.

Самый большой 11 (из максимальных 16) уровень риска присвоен проектам tcpd, whois, ftp и netcat-traditional. Все данные и скрипты опубликованы на GitHub под лицензией MIT. В качестве источников мета-данных используются репозиторий пакетов Debian и база данных Black Duck Open Hub.

This entry passed through the Full-Text RSS service — if this is your content and you’re reading it on someone else’s site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Человек ? *