Как найти библиотеки/софт, которому можно доверять (особо: PHP, JS)?

Question

[Александр Шохров]

В настоящее время меня в основном интересует PHP на бэке и JS на фронте, поэтому в первую очередь вопрос задан в рамках этих двух языковых сред.

Сегодня ряд ЯП имеет репозитории и менеджеры пакетов. Для указанных двух это Packagist/Composer и NPM. Насколько я понимаю, аудит безопасности там носит характер пост-модерации, то есть удаление вредоносных пакетов происходит на основании репортов. В принципе, логично, кто будет за так анализировать мегатонны кода.

Вопрос в том, как в этой массе найти библиотеки, в отношении которых уверен если не в полном отсутствии дыр, то хотя бы в компетентности и благих мотивах их создателя. Я представляю себе следующую иерархию "политик безопасности в отношении заимствованного кода":

1. Писать и знать весь код самому — идеал, к которому можно стремиться;
2. Читать и знать весь код самому;
3. Следовать выбору доверенных авторитетов, использующих подход не хуже №2 (мб №3, главное рекурсию разорвать) — выбирать то же, что и эксперты, и молиться;
4. Следовать выбору большинства и выбирать популярные библиотеки — смотреть на счётчик скачиваний и молиться;
5.1. Просто использовать то, что подходит, и молиться;
5.2. Просто использовать то, что подходит, и не молиться.

Сложность №1 и №2 растёт пропорционально размерам кодовой базы, №3 требует умелого выбора экспертов и чёткого определения их доверия к конкретным библиотекам, №4 полагается больше на статистику и удачу, чем на более научные методы, №№5.х — по сути, отсутствие политики.

Соответственно, для меня №3 выглядит наиболее сбалансированным, для себя примерно накидал (→GitHub…), как это может выглядеть. Экспертами в данном случае взяты такие глыбы, как производители популярных операционных систем, веб-браузеров, регуляторы интернетов и известные веб-компании.

Хотелось бы узнать от опытных разработчиков, как обычно выглядит правильный подход к выбору библиотек, существуют ли публичные "белые списки" безопасного софта, и чьё мнение можно считать экспертным.

Спасибо за внимание.

upd: Как справедливо заметили, может быть две шкалы доверия: в отношении нечаянных уязвимостей (мастерство) и умышленных бэкдоров (порядочность)

Answer 1

[G F]

Много звёзд на гитхабе/npm установок - надёжный пакет. Всё :) но как ты верно заметил в любом случае надо

молиться

Comments

[Александр Шохров]

Аска плохого не посоветует :)
Но много — это сколько? От десятков тысяч?
И... никаких Свитков Мёртвого моря нотариально заверенных списков благопристойных либ? Только социальный анализ?

[Дмитрий Беляев]

Много звёзд на гитхабе/npm установок

говорит только о распиаренности конкретного решения и ни о чем больше

[G F]

Александр Шохров,
Я ещё слишком неопытен в этом вопросе. Уровень безопасности который меня удовлетворяет - компьютер продолжает работать после установки пакета.
Дмитрий Беляев,
Ну поддержку распиаренного проекта как минимум не прекратят в одночасье, в отличие от ноунейм пакетов.

[Александр Шохров]

G F, идею понял).

[Дмитрий Беляев]

Ну поддержку распиаренного проекта как минимум не прекратят в одночасье, в отличие от ноунейм пакетов.

G F, кто Вам такое сказал?

Answer 2

[Николай]

С чего ты взял что твой код будет лучше и безопаснее? Обычно даже наоборот. Библиотеки - подддерживают десятки или сотни программистов, улучшают, фиксят баги и уязвимости.
Тебе надо самому тестировать свой продукт, идеальной системы без дыр, которую невозможно взломать, просто несуществует. Дело лишь в том, как много усилий и затрат надо потратить на взлом проекта и будет ли оно того стоит, чтобы за это кто-то взялся.

Comments

[Александр Шохров]

Мой код будет заведомо безопасным в смысле отсутствия проектных бэкдоров, т. к. их наличие не в моих интересах (если я не хацкер, пишущий трояны, конечно). Плюс, боги программирования наверняка могут писать себе всё сами. Но я на такой титул не претендую. Кроме того, полное исследование заёмного кода у меня как непрофессионала заняло бы время, сравнимое с его использованием. Поэтому рассматриваю компромиссный вариант, с опорой на выбор компетентной "критической массы". Вот и пытаюсь определить, откуда начинается компетентность и с какой массы начинается критическая (достаточная).

[Николай]

Александр Шохров, окей, скажу по другому, даже "боги программирования" не станут писать всё с нуля, это займет годы, может даже деястки лет, смотря что именно ты хочешь написать. Можешь написать свой веб-сервер аля apache, чтобы в нём точно не было уязвимостей, можешь написать свою ОС чтобы точно не взломали и т.д. и т.п.
Смысла в этом нет. Просто это того не стоит. Поэтому подойди к проекту не как "ой взломать могут", потому что взломают что угодно, если захотят и у хакеров будет достаточно ресурсов на это. Подойди к этому с точки зрения эффективности и инвестиции времени

[Александр Шохров]

Николай, об этом и вопрос. Божественность упомянута, чтобы определить верхний предел доверия к коду (т. е. полное — к своему собственному). Т. к. я не бог, чтобы писать свой apache, и даже вдумчивое чтение заёмного кода на предмет анализа его секьюрности займёт у меня изрядно времени, я и ищу лёгких инвестиций — когда всё проверил кто-то другой кому я мог бы довериться (а-ля признанные секьюрити эксперты). Т. е. списки либ, успешно прошедших аудит, либо хотя бы пользующихся доверием профессионалов. Кое-какое компромиссное решение я сформировал, но дополнительно опросить мнения не помешает.

Answer 3

[rPman]

Надежность бывает разная - кто то говорит об отсутствии ошибок в коде, а кому то нужна надежность от бекдоров.

Только аудит кода, личный или наемный сторонний специалист/компания, могут дать хоть какие то гарантии, все остальное:

молиться

Напоминаю пример - проект криптокошелька (кажется расширения для браузера, если не ошибаюсь для EOS) был атакован одним из разработчиков используемой библиотеки, т.е. пока проект разрабатывался все было ок, как только стал использоваться - злоумышленник добавил в код воровство приватников и после того как разработчики расширения в очередной раз выпустили обновление - потырил кучу денег.

Comments

[Александр Шохров]

Вопрос о том, кто является признанными аудиторами / их клиентами, и ведут ли они списки софта, успешно прошедшего аудит.

[rPman]

Аудиторские компании работающие с кодом существуют, договор и денежная ответственность делает вероятность создания проблем с их стороны очень мизерной, понятно все это не за бесплатно.

[Александр Шохров]

rPman, персональный аудит — это да. Какие-нибудь известные публичные базы результатов аудита существуют? Вот тут Snyk упомянули, вроде о других подобных сервисах слышал, но, насколько понимаю, они не достигают глобального, так сказать, размаха. Опять же, про библиотечную базу сертифицированных систем упомянули.

Answer 4

[Robur]

Про js и npm, другие области не знаю.
Это большая серьезная проблема у которой нет простого решения.

Если вам важно отсутствие бекдоров - то единственный выход - свой репозиторй в котором весь код доверенный.
Иначе даже если вы поставите модуль с 10к звезд, у него в зависимости 20-го уровня вложенности будет какой-нибудь left-pad, в который возьмут и положат бекдор.

Посмотрите на штуки типа https://snyk.io/. Я не знаю до какой степени они делают аудит модулей.

Comments

[Александр Шохров]

Хм, Snyk интересный. Пожалуй, пока наиболее близко к моей мысленной картине "белых списков".

Answer 5

[xmoonlight]

и чьё мнение можно считать экспертным.

ни чьё, даже если Вы сами с "нуля" написали свой код от начала и до конца.

Есть много уровней защиты от "чужих": аудит исходного кода, профилирование важных участков кода и поиск утечек, сканер уязвимостей кода оффлайн и в момент исполнения, контроль среды исполнения, контроль сетевой активности.

Только контроль прав среды исполнения поможет уберечься от негативных последствий.

Простое решение: "проксирование" запросов между вашим и чужим кодом в обоих направлениях и контроль данных регулярками.

Comments

[Александр Шохров]

Я в плане: если не умеешь сам организовать все эти уровни защиты, то хорошо бы как минимум ориентироваться на выбор тех, кто это умеет и практикует. Вот и интересуюсь, существуют ли списки таких деятелей, и составляют ли они, в свою очередь, списки "хороших" либ.

Иной чужой код надо вообще в песочницу сажать. Хотя сейчас, с грануляризацией разрешений, поддерживаемой тем же Linux, это, пожалуй, стало проще.

[xmoonlight]

Александр Шохров,

Вот и интересуюсь, существуют ли списки таких деятелей, и составляют ли они, в свою очередь, списки "хороших" либ.

нет. Такого в принципе быть не может.

[Stalker_RED]

Александр Шохров, берем операционку, прошедшую аудит безопасности. Смотрим какие библиотеки там используются - вот вам и хорошее начало. Такие системы сущетсвуют и в опенсорсе. Операционные системы, промышленный, медицинский, банковский софт, крипта.

[Александр Шохров]

Stalker_RED, звучит разумно.

Answer 6

[Леонид]

для того и тестируется счистема чтобы выявить ошибки. а выявится в процуессе эксплуатации исправится ничего страшного. вы решаете проблему которая яйца выеденного не стоит.
Большинство ошимбокк будет в вашем коде а не коде используемых библиотек

Comments

[Александр Шохров]

А как же дыры, закладки ) На 80-м уровне вложенных зависимостей.

Безусловно на мою долю хватит ошибок в моём собственном коде, но не хочется проверять на вшивость каждую строчку заёмного. Хочется, чтобы его уже проверил кто-то другой) Тут уже интерфейсными тестами не отделаешься.