Sono sicuro che ci deve essere stato un numero qualsiasi di audit su progetti open source Java comuni, molti dei quali per governi o enti finanziati con fondi pubblici.
Qualcuno dei risultati è stato reso pubblico, in modo che un utente medio possa prendere una versione particolare di un particolare JAR (con un particolare checksum) e avere un livello molto più elevato di sicurezza che non contenga backdoor o simili?
Un audit del codice dovrebbe essere considerato solo come un controllo temporale, e non dovrebbe essere considerato una garanzia futura. È possibile che alcuni prodotti abbiano effettuato una verifica o una revisione da parte di terzi e che possano rendere disponibile tale rapporto, ma nuove tecniche o metodi, tempistiche e budget diversi potrebbero comportare l'individuazione di ulteriori bug in seguito. Alla fine, potrebbero non aver trovato nulla.
Per motivi legali, è improbabile che qualcuno rilasci una garanzia, una garanzia o una recensione del codice. Più utile sarebbe una revisione del processo di sviluppo per test, controlli, procedure e revisioni in corso.
Ciò che potresti essere in grado di trovare è la documentazione delle vulnerabilità esistenti e delle patch che puoi applicare, recensioni, discussioni, ecc. Se puoi verificare il checksum / hash di un JAR ottenuto con quello fornito dallo sviluppatore, questo può darti un po 'di fiducia. Se si tratta di un popolare progetto Open Source, è probabile che le persone si lamentino o pubblichino patch se viene rilevata una vulnerabilità o una vulnerabilità. Potresti anche ottenere una certa garanzia da un JAR firmato. Vuoi firmare qualcosa in cui hai inserito una backdoor come sviluppatore originale?
Inoltre, pochissime licenze open source forniscono alcuna garanzia e potrebbero persino non garantire alcuna idoneità. È necessario assumere un rischio calcolato sull'autore del codice, sul servizio che fornisce l'origine o l'eseguibile e sui requisiti dell'applicazione. Dovresti anche avere una ragionevole sicurezza nei firewall, AV, ecc. Del tuo stesso ambiente per bloccare o identificare le minacce.
Infine, è probabile che la maggior parte delle recensioni venga attivata dalla personalizzazione del codice aperto, non dal pacchetto base.