بطاقات الأداء الأمني: ما هي وما الجديد في الإصدار الجديد 2.0؟

بطاقات الأداء الأمنية: ما هي وما الجديد في نسختها الجديدة 2.0؟

قبل أيام قليلة أ نسخة جديدة 2.0 من مشروع مفتوح المصدر يسمى "بطاقات أداء الأمان"، وهو مشروع تم إطلاقه في نوفمبر 2020 بواسطة شراء مراجعات جوجل و مؤسسة الأمن مفتوحة المصدر (OpenSSF).

لهذا السبب ، في هذا المنشور سوف نتعمق قليلاً في المشروع المذكور ومشروعه الإصدار الجديد 2.0 ، التي لديها الآن اختبار وقدرات محسنة لتحسين البيانات التي تم إنشاؤها لمزيد من التحليل.

ومنذ ذلك الحين ، فإن هذا المشروع هو المسؤول عن OpenSSF، سنترك الرابط الخاص بنا على الفور الوظيفة السابقة ذات الصلة مع ذلك ، بحيث إذا لزم الأمر ، يمكن للمهتمين بمعرفة المزيد عن المؤسسة المذكورة الوصول إليها بسهولة:

"أعلنت مؤسسة Linux عن تشكيل مشروع جديد يسمى OpenSSF (Open Source Security Foundation) والذي يتمثل هدفه الرئيسي في الجمع بين عمل قادة الصناعة في مجال تحسين أمان برمجيات الكود. open. من خلال ذلك ، ستواصل OpenSSF تطوير مبادرات مثل مبادرة البنية التحتية وتحالف أمان المصدر المفتوح (مبادرة البنية التحتية المركزية وائتلاف أمان المصدر المفتوح) وستجمع الأعمال الأخرى المتعلقة بالأمن التي تنفذها الشركات التي انضمت إلى المشروع .." OpenSSF: مشروع يركز على تحسين أمن البرمجيات مفتوحة المصدر

المادة ذات الصلة:

OpenSSF: مشروع يركز على تحسين أمن البرمجيات مفتوحة المصدر

Sigstore: مشروع لتحسين سلسلة التوريد مفتوحة المصدر

Sigstore: Proyecto para mejorar la cadena de suministro del código abierto

المادة ذات الصلة:

Sigstore: مشروع لتحسين سلسلة التوريد مفتوحة المصدر

بطاقات أداء الأمان: بطاقات الأداء الأمنية

ما هي بطاقات الأداء الأمنية؟

وفقا لأحد المنشور الرسمي لجوجل المصدر المفتوحتم وصف هذا المشروع على النحو التالي:

""بطاقات الأداء الأمنية" هي واحدة من المشاريع الأولى التي يتم نشرها ضمن إطار عمل OpenSSF منذ إنشائها في أغسطس 2020. والهدف هو إنشاء "درجة أمان" لمشاريع مفتوحة المصدر لمساعدة المستخدمين على تحديد الثقة والمخاطر الموقف الأمني لحالة استخدامها.

تحدد بطاقات أداء الأمان معايير التقييم الأولية التي سيتم استخدامها لإنشاء بطاقة أداء لمشروع مفتوح المصدر بطريقة مؤتمتة بالكامل. كل فحص على بطاقة الأداء قابل للتنفيذ. تتضمن بعض مقاييس التقييم المستخدمة سياسة أمان محددة جيدًا ، وعملية مراجعة الكود ، وتغطية اختبار مستمرة باستخدام أدوات التشويش وتحليل الكود الثابت. يتم إرجاع قيمة منطقية بالإضافة إلى درجة الثقة لكل فحص أمان.

بمرور الوقت ، ستعمل Google على تحسين هذه المقاييس من خلال مساهمات المجتمع من خلال OpenSSF." بطاقات الأداء الأمنية لمشاريع مفتوحة المصدر

كيف تعمل بطاقات الأداء الأمنية؟

لا سيجون OpenSSF, "بطاقات أداء الأمان" يعمل على النحو التالي:

توليد بطاقة النتيجة لمشروع مفتوح المصدر بطريقة آلية بالكامل. على الرغم من أن الكود يعمل حاليًا فقط مع مستودعات برامج جيثب، توسيعها إلى مستودعات الكود المصدري الأخرى في طور الإعداد. علاوة على ذلك ، فإن بعض مقاييس التقييم المستخدمة تتضمن سياسة أمان محددة جيدًا ، وعملية مراجعة التعليمات البرمجية ، وتغطية اختبار مستمرة مع أدوات التشويش y تحليل الكود الثابت.

بالإضافة إلى ذلك ، فإنه يقيم بشكل دوري مشاريع مفتوحة المصدر مهمة ويكشف معلومات (بيانات) الشيكات من خلال أ مجموعة بيانات BigQuery العامة والذي يتم تحديثه أسبوعيا. ويمكن أيضًا استخدام هذه البيانات لزيادة اتخاذ أي قرار آلي عند إدخالها. تبعيات جديدة مفتوحة المصدر داخل المشاريع أو المنظمات.

وبالتالي ، يمكن للمنظمات تقرر بشكل أمثل أن أي تبعية جديدة مع درجات منخفضة يجب أن تمر عبر أ تقييم إضافي. لذلك يمكن أن تساعد هذه الفحوصات في تخفيف التبعيات الضارة من الانتشار على أنظمة الإنتاج.

لتوسيع هذه المعلومات من الخاص بك مصدر رسمي (OpenSSF) يمكنك استكشاف ما يلي صلة.

ما الجديد في الإصدار 2.0

هذا نسخة جديدة 2.0 تم الإفراج عنه بعد فترة وجيزة شراء مراجعات جوجل سيقدم إطار عمل شامل يسمى "مستويات سلسلة التوريد لأدوات البرمجيات" (مستويات سلسلة التوريد لأعمال البرمجيات - SLSA) التي تسعى إلى ضمان سلامة الأدوات البرمجية ومنع التعديلات غير المصرح بها أثناء تطويرها وتنفيذها.

ويتضمن بشكل موجز ما يلي جديد:

تحسين في تحديد المخاطر المعروفة المحتملة.
اكتشاف معزز للمساهمين الضارين من خلال مراجعة إلزامية للتعليمات البرمجية من طرف ثالث قبل الالتزام
إتقان الكشف عن الكود الضعيف من خلال تنفيذ اختبارات الكود الثابت والتشويش المستمر.
تحسين تحديد التبعيات الضعيفة للتخفيف من المخاطر الأمنية المحتملة والسماح باتخاذ القرارات الأكثر ملاءمة لتخفيفها.

للتعمق في تفاصيل ملف التحسينات أو الوظائف الحالية يمكنك استكشاف ما يلي صلة.

ملخص

نأمل هذا "وظيفة صغيرة مفيدة" في «Security Scorecards»، وهو مشروع أطلقته شراء مراجعات جوجل و مؤسسة الأمن مفتوحة المصدر، الذي أصدر مؤخرًا ملف نسخة جديدة 2.0 أنه عزز الاختبار والقدرات لتحسين البيانات المولدة لمزيد من التحليل ؛ ذات فائدة وفائدة كبيرة للجميع «Comunidad de Software Libre y Código Abierto» ومساهمة كبيرة في نشر النظام البيئي الرائع والعملاق والمتنامي لتطبيقات «GNU/Linux».

في الوقت الحالي ، إذا أعجبك هذا publicación، لا تتوقف شاركه مع الآخرين ، على مواقع الويب أو القنوات أو المجموعات أو مجتمعات الشبكات الاجتماعية أو أنظمة المراسلة المفضلة لديك ، ويفضل أن تكون مجانية و / أو مفتوحة و / أو أكثر أمانًا تیلیجرام, سيجنل, المستودون حيوان بائد شبيه بالفيل أو آخر Fediverse، ويفضل.

وتذكر زيارة صفحتنا الرئيسية على «DesdeLinux» لاستكشاف المزيد من الأخبار ، وكذلك الانضمام إلى قناتنا الرسمية برقية من DesdeLinux. بينما ، لمزيد من المعلومات ، يمكنك زيارة أي مكتبة على الإنترنت كما OpenLibra y جيديت, للوصول إلى الكتب الرقمية وقراءتها (ملفات PDF) حول هذا الموضوع أو غيره.

اترك تعليقك الغاء الرد

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

تعليق *

اسم*

البريد الإلكتروني*

أقبل شروط الخصوصية*

المسؤول عن البيانات: ميغيل أنخيل جاتون
الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
الشرعية: موافقتك
توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

أنا ترغب في الحصول على النشرة الإخبارية