Contactez nous

info@serverion.com

Appelez nous

+1 (302) 380 3902

10 conseils pour sécuriser les dépendances tierces

10 conseils pour sécuriser les dépendances tierces

ambroisie Hébergement PBX 3CX 10/01/2025

Les dépendances tierces représentent jusqu'à 90% des bases de code des applications modernes, mais comportent de sérieux risques de sécurité. Plus de 801 TP3T de bases de code comportent des vulnérabilités, et d'ici 2025, les attaques contre la chaîne d'approvisionnement pourraient causer 1 TP4T60 milliards de dommages. Voici comment sécuriser vos dépendances et protéger votre logiciel :

  • Réduire les dépendances:Utilisez uniquement les bibliothèques nécessaires pour minimiser les vulnérabilités.
  • Choisissez soigneusement les bibliothèques:Évaluer l’historique de sécurité, la maintenance et les mises à jour.
  • Maintenir les dépendances à jour:Mettre à jour régulièrement pour corriger les vulnérabilités connues.
  • Rechercher les vulnérabilités:Utilisez des outils comme Snyk ou OWASP Dependency-Check.
  • Utiliser l'épinglage de version:Verrouillez des versions spécifiques pour éviter des modifications inattendues.
  • Isoler les dépendances:Utilisez des conteneurs ou des microservices pour limiter les dégâts.
  • Évaluer avant utilisation:Vérifiez la réputation, la maintenance et la conformité.
  • Surveiller en continu:Automatisez les analyses et suivez les vulnérabilités au fil du temps.
  • Source de fournisseurs de confiance:Vérifiez l'authenticité et utilisez des registres privés.
  • Choisissez un hébergement sécurisé: Assurez-vous que votre environnement d’hébergement dispose de défenses solides.

Prévenir les attaques de la chaîne d'approvisionnement de logiciels grâce aux meilleures pratiques de gestion des dépendances

1. Réduire les dépendances

La réduction des dépendances tierces est une étape clé pour sécuriser votre logiciel. Chaque bibliothèque que vous ajoutez augmente le risque de vulnérabilités. Par conséquent, les réduire au minimum permet de réduire la surface d'attaque de votre application.

Commencez par auditer vos bibliothèques actuelles. Recherchez celles qui sont inutiles, redondantes ou rarement utilisées. Concentrez-vous sur ce qui est vraiment nécessaire au fonctionnement de votre application et vérifiez les chevauchements avec les outils existants.

Voici quelques moyens pratiques de gérer les dépendances :

  • Utiliser conteneurs pour isoler les dépendances et limiter leur accès aux systèmes sensibles.
  • Mettre en place des examens réguliers pour déterminer si chaque bibliothèque est toujours nécessaire.
  • Exploitez des outils automatisés pour analyser votre base de code et signaler les dépendances inutilisées.

Pour les applications plus volumineuses, envisagez d'adopter des microservices. Cette approche permet d'isoler les dépendances, réduisant ainsi l'impact potentiel d'une violation. Lorsque vous choisissez de nouvelles bibliothèques, posez-vous la question suivante : cette fonctionnalité peut-elle être obtenue avec ce que nous avons déjà ? Ou une petite quantité de code personnalisé pourrait-elle faire mieux l'affaire ?

Enfin, mettez en place un processus clair pour l’ajout de nouvelles dépendances. Demandez aux développeurs de justifier leurs choix et d’évaluer les risques de sécurité impliqués.

Une fois votre liste de dépendances réduite, concentrez-vous sur la sélection minutieuse des bibliothèques qui correspondent à la fois à vos exigences de sécurité et fonctionnelles.

2. Sélectionnez soigneusement les bibliothèques

Choisir les bonnes bibliothèques tierces ne se limite pas à vérifier si elles répondent à vos besoins en termes de fonctionnalités. Vous devez également vous pencher sur leur historique de sécurité et sur la qualité de leur maintenance. Cette étape est essentielle pour créer une chaîne d'approvisionnement logicielle plus solide et plus sûre.

Lorsque vous examinez les bibliothèques, faites attention à trois facteurs principaux : popularité, entretien, et dépendancesLes bibliothèques dotées de communautés d’utilisateurs actives font souvent l’objet d’un examen plus approfondi, mais des mises à jour régulières et des correctifs rapides pour les problèmes sont tout aussi importants.

Voici ce qu’il faut rechercher dans une bibliothèque sécurisée :

  • Mises à jour fréquentes et des correctifs de sécurité en temps opportun
  • Mainteneurs actifs qui traitent rapidement les problèmes signalés
  • Documentation de sécurité détaillée et des méthodes claires pour signaler les vulnérabilités
  • Couverture de test élevée et une qualité de code élevée

Bien que les bibliothèques largement utilisées comme Antd ou Chakra UI bénéficient de la surveillance de la communauté, vous devez toujours évaluer leurs pratiques de sécurité et les dépendances qu'elles entraînent.

« Évaluer la sécurité d'une bibliothèque n'est pas une tâche simple. Même si le développeur ou l'entreprise qui en est à l'origine jouit d'une solide réputation, rien ne garantit que la bibliothèque soit exempte de failles de sécurité. »

Des outils comme NVD et Snyk peuvent vous aider à identifier les vulnérabilités connues et à confirmer l'authenticité du code source. Il est également important d'évaluer les dépendances supplémentaires introduites par une bibliothèque pour éviter les risques inutiles liés au code tiers.

Après avoir sélectionné des bibliothèques sécurisées, il est tout aussi important de rester au courant des mises à jour pour garantir leur fiabilité continue.

3. Maintenez les dépendances à jour

Maintenir vos dépendances à jour est l'un des meilleurs moyens de protéger vos applications contre les vulnérabilités connues. Le rapport State of Open Source Security de Snyk révèle que 84% des failles de sécurité se produisent via l'exploitation de vulnérabilités connues – des problèmes qui pourraient souvent être évités avec des mises à jour ponctuelles.

Pour garder une longueur d'avance, combinez automation avec surveillance manuelleDes outils comme Snyk, Vérification des dépendances OWASP, Audit NPM, et Dépendabot peut analyser vos dépendances, signaler les problèmes de sécurité et même s'intégrer à votre flux de travail pour simplifier les mises à jour.

Voici une approche pratique :

  • Courir analyses automatisées quotidiennes pour détecter les problèmes le plus tôt possible.
  • Appliquer mises à jour mineures hebdomadaires pour éviter de prendre du retard.
  • Calendrier revues mensuelles pour des mises à jour majeures pour assurer la stabilité.

Pour les dépendances critiques, utilisez l'épinglage de version pour verrouiller des versions spécifiques tout en effectuant des mises à jour régulières afin d'éviter les surprises. Les applications critiques nécessitent encore plus d'attention : corrigez immédiatement les vulnérabilités, testez les mises à jour mineures chaque semaine et effectuez des tests de régression pour les modifications majeures chaque mois.

N'oubliez pas de documenter tous les changements dans un journal des modifications. Cette étape simple facilite grandement le dépannage et les audits de sécurité.

Les outils automatisés peuvent également créer des demandes d'extraction pour les mises à jour de sécurité, ce qui vous permet de rester au courant des derniers correctifs sans augmenter votre charge de travail. Cette méthode renforce non seulement votre sécurité, mais vous aide également à éviter la dette technique.

La mise à jour des dépendances n’est qu’une pièce du puzzle : associez-la à une surveillance proactive et à des analyses de vulnérabilité régulières pour garantir une protection à long terme.

4. Rechercher les vulnérabilités

L'analyse des vulnérabilités joue un rôle crucial dans la sécurisation des dépendances tierces, contribuant ainsi à protéger votre chaîne d'approvisionnement logicielle contre les menaces connues. En utilisant des outils d'analyse modernes, vous pouvez détecter et résoudre les problèmes de sécurité avant qu'ils ne s'aggravent.

Analyse de la composition du logiciel (SCA) Les outils de sécurité sont particulièrement utiles. Ils analysent votre base de code à la recherche de vulnérabilités, de licences problématiques et de logiciels malveillants, couvrant à la fois les dépendances directes et celles héritées indirectement. Pour renforcer vos efforts de sécurité, envisagez les pratiques suivantes :

  • Exploitez plusieurs outils:Utilisez une combinaison d'outils tels que Snyk, OWASP Dependency-Check et npm audit. Chaque outil a ses points forts et, ensemble, ils offrent une meilleure couverture des différents langages de programmation.
  • Intégrez la numérisation à votre flux de travail:
    • Ajoutez des plugins IDE pour détecter les problèmes pendant le développement.
    • Utilisez des hooks de pré-validation pour analyser le code avant qu'il ne soit validé.
    • Intégrer l’analyse dans les pipelines CI/CD.
    • Exécutez des vérifications pendant le déploiement pour une couche de sécurité supplémentaire.
  • Répondre aux résultats: Traitez les vulnérabilités en fonction de leur gravité. Corrigez immédiatement les problèmes critiques, tout en planifiant les mises à jour ultérieures pour les problèmes moins prioritaires.

Pour améliorer vos analyses, configurez des outils pour référencer plusieurs bases de données de vulnérabilités, telles que :

  • Base de données nationale sur la vulnérabilité (NVD)
  • Vulnérabilités et expositions courantes (CVE)
  • Base de données d'avis de sécurité GitHub
  • Avertissements spécifiques à la langue

Bien que les outils d’analyse soient essentiels pour identifier les risques, la gestion et l’isolement efficaces des dépendances ajoutent une autre couche de protection.

5. Utilisez l'épinglage de version

Lorsque vous travaillez avec des dépendances tierces, il ne suffit pas de les sélectionner et de les mettre à jour : vous devez également contrôler comment et quand les modifications sont apportées. L'épinglage de version permet de verrouiller les dépendances sur des versions spécifiques, empêchant ainsi les mises à jour inattendues qui pourraient introduire des bugs ou des risques de sécurité.

Des outils comme package-lock.json ou poésie.lock faciliter l'application des versions épinglées. Cela garantit que les installations restent cohérentes sur différentes machines et environnements.

Voici un plan simple pour gérer efficacement les dépendances épinglées :

  • Choisissez des versions stables et sécurisées avec des mises à jour récentes.
  • Établissez un calendrier de mises à jour : des mises à jour mineures mensuelles, des mises à jour majeures trimestrielles.
  • Testez soigneusement toutes les mises à jour dans un environnement de test.
  • Documentez les versions épinglées et pourquoi elles ont été choisies.

Pour les applications critiques, appliquez les correctifs de sécurité dans les 48 heures, examinez les mises à jour mineures tous les mois et effectuez les mises à jour majeures tous les trimestres. L'épinglage de version vous permet de contrôler le moment où les mises à jour se produisent, ce qui permet de maintenir la stabilité de votre système tout en le protégeant.

Associez l'épinglage de versions à des analyses de sécurité régulières et à d'autres mesures de protection. Si l'épinglage garantit la stabilité, l'isolement des dépendances ajoute une couche de protection supplémentaire.

6. Isoler les dépendances

Les dépendances tierces peuvent présenter de graves risques pour votre système. Les isoler permet de garantir qu'une seule bibliothèque compromise ne mette pas en danger l'ensemble de votre application. En définissant des limites entre le code externe et votre système principal, vous pouvez limiter les dommages potentiels.

Des outils tels que des conteneurs ou une configuration de microservices peuvent vous aider. Ces approches limitent les autorisations, l'accès au réseau et l'utilisation des ressources, ce qui rend plus difficile l'exploitation des vulnérabilités par les attaquants. Par exemple, l'exécution de bibliothèques dans des conteneurs avec un accès limité garantit que même si l'une d'entre elles est compromise, le reste de votre application reste protégé.

Voici quelques moyens pratiques pour isoler les dépendances :

  • Isolation basée sur des conteneurs
    Exécutez chaque dépendance dans son propre conteneur avec des autorisations minimales. Limitez l'accès au réseau et au système de fichiers, définissez des limites d'utilisation des ressources et surveillez l'activité pour détecter tout comportement inhabituel.
  • Architecture des microservices
    Utilisez une approche de microservices pour séparer les composants et leurs dépendances. Définissez des limites claires entre les services, appliquez des mesures de sécurité personnalisées pour chacun et surveillez la manière dont les services interagissent.
  • Gestion des autorisations
    Accordez uniquement les autorisations absolument nécessaires. Vérifiez régulièrement ces autorisations, révoquez celles qui ne sont pas utilisées et suivez la manière dont elles sont utilisées.

Pour les applications qui traitent des données sensibles, vous pouvez aller plus loin en ajoutant des couches d'isolation supplémentaires pour le réseau, le stockage, les processus et la mémoire. Des outils tels que les pare-feu, le chiffrement et les groupes de contrôle peuvent être particulièrement utiles ici.

Bien que l’isolement soit une défense efficace, l’associer à un examen approfondi des bibliothèques avant de les utiliser ajoute une couche de protection supplémentaire.

7. Évaluer les dépendances avant utilisation

Il est essentiel d'évaluer soigneusement les dépendances avant de les intégrer à votre projet pour réduire les risques de sécurité. Commencez par vérifier la réputation de la source, son niveau de développement actif et son historique de maintenance. Recherchez des mises à jour fréquentes, des notes de publication détaillées et des mainteneurs actifs : ce sont de bons signes d'une dépendance fiable.

Utilisez des outils automatisés comme Vérification des dépendances OWASP, Snyk, ou Retraite.js pour identifier les vulnérabilités et garantir la conformité. Accordez une attention particulière à ces domaines clés :

Zone Vérifications des clés Outils
Sécurité Analyse CVE, contrôles de vulnérabilité Vérification des dépendances OWASP, Snyk
Entretien Fréquence des mises à jour, corrections de problèmes Métriques GitHub, historique des versions
Conformité Compatibilité des licences FOSSA, WhiteSource

Pour les applications critiques, approfondissez vos recherches. Examinez l'historique de sécurité de la dépendance, la qualité de sa documentation et son arborescence complète des dépendances pour découvrir les risques cachés. Assurez-vous de documenter vos découvertes, y compris les détails de la version, les limitations connues et les notes de sécurité.

Voici quelques domaines clés sur lesquels vous concentrer lors de votre évaluation :

  • Historique de la sécurité:Vérifiez les problèmes de sécurité passés et comment ils ont été résolus.
  • Qualité de la documentation: Assurez-vous que les consignes de sécurité sont claires et complètes.
  • Utilisation des ressources:Évaluez l’impact de la dépendance sur les performances et la consommation des ressources.

Organisez tous les détails de l'évaluation, en particulier ceux concernant les problèmes de version et de sécurité. Cette approche structurée garantit la cohérence dans la manière dont vous évaluez les dépendances.

Même après avoir effectué une analyse approfondie avant l'intégration, une surveillance continue est essentielle. De nouvelles vulnérabilités peuvent apparaître au fil du temps, et il est essentiel de les maîtriser pour maintenir un système sécurisé et fiable.

8. Surveiller les dépendances en permanence

Garder un œil sur vos dépendances n'est pas une tâche ponctuelle : c'est un processus continu pour se prémunir contre les nouvelles menaces. Cette étape s'appuie sur des actions antérieures telles que l'analyse et la mise à jour, mais va plus loin en garantissant une protection continue. Les outils automatisés facilitent la détection rapide des vulnérabilités, afin que votre équipe puisse agir rapidement. Associez des outils tels que Dependabot, Snyk Monitor et WhiteSource à des analyses manuelles pour couvrir toutes vos bases.

Couche de surveillance Outils et méthodes Fréquence
Numérisation automatique Dependabot, moniteur Snyk, WhiteSource En temps réel/quotidien
Alertes de sécurité Alertes de sécurité GitHub, audit NPM À mesure que des vulnérabilités apparaissent
Contrôle de version Moniteur de version de paquet, Version Eye Hebdomadaire
Avis sur le manuel Audits de code, analyse de l'arbre des dépendances Trimestriel

Configurez des alertes dans votre système de gestion pour informer votre équipe des vulnérabilités critiques, des mises à jour de versions majeures, des dépendances obsolètes ou des modifications de licence.

Pour les applications critiques, allez plus loin : utilisez des outils pour surveiller l'ensemble de votre arborescence de dépendances. Un tableau de bord peut vous aider à suivre des indicateurs clés tels que :

  • Dépendances obsolètes
  • Gravité des vulnérabilités de sécurité
  • Fréquence de mise à jour
  • Dépendances en fin de vie

Élaborez un processus clair pour gérer les problèmes signalés lors de la surveillance. Si votre application est volumineuse, envisagez d'utiliser un système de gestion des informations et des événements de sécurité (SIEM) pour relier les vulnérabilités de dépendance à d'autres événements de sécurité.

Bien que la surveillance aide à détecter les problèmes, l'approvisionnement de vos dépendances auprès de fournisseurs fiables vous garantit de démarrer sur des bases solides.

9. Source auprès de fournisseurs de confiance

Le choix de sources fiables pour vos dépendances est essentiel pour assurer la sécurité de votre application. Selon Gartner, 451 000 entreprises dans le monde ont été confrontées à des attaques sur leur chaîne d’approvisionnement en logiciels en 2023, soit une forte augmentation par rapport à 2021. Cette tendance souligne l’importance de vérifier vos sources.

Voici quelques pratiques de sécurité essentielles à suivre lors de l’approvisionnement des dépendances :

Facteur de confiance Méthode de vérification Atténuation des risques
Canal de distribution Utilisez des registres privés, des sources vérifiées Réduit le risque d'attaques par confusion de dépendance
Signature du package Vérifier les signatures des packages Confirme l'authenticité des colis
Contrôle de la source Surveiller les changements de propriété Détecte les compromis de sécurité potentiels

Les registres privés offrent une couche de sécurité supplémentaire en mettant en cache les packages approuvés et en contrôlant les nouveaux ajouts. Pour vous protéger davantage, utilisez le --ignorer les scripts lors de l'installation des packages. Cela empêche l'exécution de scripts malveillants pendant l'installation. Vous pouvez même en faire un paramètre par défaut en l'ajoutant à votre .npmrc fichier de projet.

« La question « est-ce que je fais confiance à ce package » n’est pas la meilleure à poser. La question la plus pertinente est « est-ce que je fais confiance à l’auteur de ce package ? » – Scott Hanselman, Tech Advocate

Le saviez-vous ? Le package npm moyen repose sur 79 packages tiers et 39 mainteneurs. Cela crée une surface d'attaque importante. Pour réduire ces risques, envisagez d'utiliser des logiciels open source pris en charge par les fournisseurs, qui incluent souvent des mises à jour de sécurité et un support réguliers. Un exemple édifiant : l'incident du flux d'événements de 2018, où une dépendance compromise a réussi à atteindre des millions de téléchargements en quelques mois seulement.

Si votre gestionnaire de paquets ne prend pas en charge la signature (comme NuGet), implémentez des stratégies de confiance client pour imposer l'utilisation de paquets signés provenant d'auteurs approuvés. De plus, gardez un œil sur les changements de propriété ou de mainteneur, car ils peuvent signaler des problèmes potentiels.

Bien que l'approvisionnement auprès de fournisseurs de confiance contribue à réduire les risques, l'association de ces derniers à des solutions d'hébergement sécurisées porte la sécurité de votre application à un niveau supérieur.

10. Choisissez un hébergement sécurisé

La sécurité de votre infrastructure d'hébergement est tout aussi importante que les dépendances sur lesquelles repose votre application. Un environnement d'hébergement sécurisé agit comme l'épine dorsale de la défense de votre application, réduisant les risques en isolant les menaces potentielles et en garantissant des mises à jour sûres.

Lorsque vous choisissez un fournisseur d’hébergement, accordez la priorité à ces fonctionnalités de sécurité clés :

Fonctionnalité de sécurité Objectif Impact sur les dépendances
Environnements isolés Garde les applications séparées pour éviter les risques Limite la propagation des problèmes provenant de dépendances compromises
Numérisation automatique Surveille en permanence les vulnérabilités Détecte les failles de sécurité dans les dépendances avant qu'elles ne soient exploitées
Protection DDoS Boucliers contre les attaques par déni de service Maintient la disponibilité des dépendances pendant les attaques
Audits de sécurité réguliers Examine et valide les mesures de sécurité Confirme l'intégrité des systèmes de gestion des dépendances

Des fournisseurs comme Serverion, connus pour leurs centres de données multisites, leur protection DDoS et leurs audits de routine, offrent le type de sécurité au niveau de l'infrastructure qui est essentiel pour la gestion des dépendances. Les environnements isolés, par exemple, garantissent que si les dépendances d'une application sont compromises, les autres ne sont pas affectées.

Lors de l’évaluation des fournisseurs d’hébergement, recherchez des options qui incluent :

  • Sauvegardes automatiques pour annuler les mises à jour problématiques
  • Intégration du contrôle de version et des outils de surveillance des événements de sécurité
  • Contrôles de gestion des accès pour superviser les changements de dépendance

« Sans hébergement sécurisé, même les dépendances vérifiées peuvent devenir des vulnérabilités. »

Choisissez un fournisseur ayant fait ses preuves en matière de conformité et de réponse aux incidents. Associer un hébergement sécurisé à d'autres mesures de protection vous aidera à créer une défense solide contre les risques liés à la dépendance.

Pour conclure

La gestion de la sécurité des dépendances tierces est devenue une priorité absolue dans le paysage actuel du développement logiciel. En 2023, les cyberattaques de la chaîne d'approvisionnement ont touché 2 769 organisations aux États-Unis, soit une augmentation stupéfiante de 581 TP3T par rapport à l'année précédente.

Prenons l’exemple de l’incident de la porte dérobée XZ Utils de mars 2024. Il a révélé comment les failles dans les dépendances largement utilisées peuvent se propager à l’ensemble de l’industrie du logiciel. Même si des correctifs existent pour 96% de vulnérabilités, les dépendances obsolètes représentent toujours 80% de cas, laissant les systèmes ouverts aux attaques.

« En utilisant des dépendances tierces, vous assumez la responsabilité d'un code que vous n'avez pas écrit. » – Auth0

Les stratégies décrites ici – du choix de dépendances sécurisées à l’utilisation de services d’hébergement fiables – posent les bases d’une protection renforcée. La faille d’Equifax, qui a résulté d’un correctif tardif pour une vulnérabilité connue, sert d’avertissement quant aux dangers d’ignorer les mises à jour.

En appliquant ces dix pratiques, vous créez une approche à plusieurs niveaux pour gérer les dépendances tierces. Ensemble, elles abordent des domaines clés de la gestion des dépendances tout en ajoutant plusieurs barrières aux menaces potentielles.

À mesure que les chaînes d’approvisionnement en logiciels deviennent plus complexes, il sera essentiel de rester vigilant et de donner la priorité à la sécurité des dépendances pour créer des applications plus sûres.

FAQ

Comment gérer les dépendances tierces ?

Pour gérer efficacement les dépendances des tiers, il est essentiel de conserver des enregistrements détaillés, d'effectuer des évaluations régulières des risques et de contrôler le code source des dépendances des fournisseurs. Documentez les sélections de bibliothèques, leurs cas d'utilisation et les risques associés. Évaluez régulièrement les risques liés aux tiers et assurez une gestion appropriée du code source. De nombreux fournisseurs tiers ont des mesures de cybersécurité plus faibles, ce qui peut augmenter votre exposition aux menaces potentielles.

Cette approche est particulièrement critique lors de l’utilisation d’écosystèmes de packages comme npm, qui comportent leur propre ensemble de défis de sécurité.

Les packages npm sont-ils sûrs à utiliser ?

Les packages npm peuvent présenter des risques en raison de leurs arborescences de dépendances complexes et de leur dépendance à plusieurs mainteneurs. Il est donc essentiel d'auditer soigneusement les packages et d'établir une confiance envers leurs auteurs. Même les packages npm les plus populaires, y compris ceux conçus dans un souci de sécurité, se sont révélés contenir des vulnérabilités. Un exemple notable est le package « event-stream », qui a été compromis en 2018, soulignant l'importance de contrôles de sécurité approfondis.

Ces défis liés aux packages npm reflètent des problèmes plus larges au sein des chaînes d’approvisionnement de logiciels.

Quel est le risque de sécurité majeur dans la chaîne d’approvisionnement en logiciels ?

Les principaux risques dans la chaîne d’approvisionnement des logiciels incluent les vulnérabilités des dépendances tierces, des référentiels publics, des systèmes de build et des processus de mise à jour. Ces préoccupations soulignent l’importance de mesures de sécurité solides. Le code open source représentant désormais jusqu’à 90% des logiciels modernes, il est plus crucial que jamais de gérer ces risques.

Articles de blog associés

X
10 conseils pour sécuriser les dépendances tierces

Au loin, derrière le mot montagne, loin des pays de Vokalia et de Consonantia, vivent les textes aveugles. Séparés, ils habitent à Bookmarksgrove, juste sur la côte

  • 759 avenue Pinewood

    Marquette, Michigan
Achetez maintenant
fr_FR
fr_FR en_US nl_NL_formal ar ca zh_CN hr cs_CZ da_DK fi de_DE_formal hi_IN hu_HU is_IS id_ID it_IT ja kab nn_NO pl_PL pt_PT pt_BR es_ES sv_SE ro_RO ru_RU tr_TR uk