Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии,
представил (https://www.coreinfrastructure.org/news/blogs/2015/07/open-s...) проект Census (https://www.coreinfrastructure.org/programs/census-project). Задачей проекта является выявление открытых проектов, нуждающихся в первоочередном аудите кодовой базы и оценке защищённости.
Для выявления подобных проектов сформирован рейтинг, который учитывает различные составляющие, такие как число выявленных уязвимостей, размер активного сообщества разработчиков, наличие отдельного сайта, популярность и важность приложения, заимствование кода в других проектах, число задействованных в работе зависимостей, число дополнительных патчей в deb-пакете, статистику ABRT о крахах. После оценки всех имеющихся метрик для каждого проекта рассчитывается степень риска. Например, наибольший уровень риска будет присвоен проектам, поддерживаемым несколькими разработчиками, имеющими известные уязвимости в прошлом и активно применяемые для построения сетевых сервисов.
Самый большой 11 (из максимальных 16) уровень риска присвоен проектам tcpd, whois, ftp и netcat-traditional. Все данные и скрипты опубликованы (https://github.com/linuxfoundation/cii-census) на GitHub под лицензией MIT. В качестве источников мета-данных используются репозиторий пакетов Debian и база данных Black Duck Open Hub (http://openhub.net).
<center><a href="https://www.coreinfrastructure.org/sites/cii/files/styles/la... src="http://www.opennet.ru/opennews/pics_base/0_1436613702.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
URL: https://www.coreinfrastructure.org/news/blogs/2015/07/open-s...
Новость: http://www.opennet.ru/opennews/art.shtml?num=42599