Преди няколко дни a нова версия 2.0 от проекта с отворен код, наречен "Сигурни карти за сигурност", който е проект, стартиран през ноември 2020 г. от Google и Фондация за сигурност с отворен код (OpenSSF).
Поради тази причина в тази публикация ще се задълбочим малко в споменатия проект и неговите нова версия 2.0, което сега има Подобрено тестване и възможности за оптимизиране на генерираните данни за по-нататъшен анализ.
И тъй като този проект отговаря за OpenSSF, веднага ще оставим връзката на нашия предишна свързана публикация с него, така че ако е необходимо, тези, които се интересуват да научат повече за споменатата фондация, могат лесно да получат достъп до нея:
"Фондацията Linux обяви създаването на нов проект, наречен "OpenSSF" (Open Source Security Foundation), чиято основна цел е да обедини работата на лидерите в индустрията в областта на подобряването на сигурността на кодовия софтуер. С това OpenSSF ще продължи да развива инициативи като Инициативата за инфраструктура и Коалицията за сигурност с отворен код (Инициатива за централна инфраструктура и Коалиция за сигурност с отворен код) и ще обедини друга работа, свързана със сигурността, извършвана от компании, присъединили се към проекта ..." OpenSSF: проект, фокусиран върху подобряване на сигурността на софтуера с отворен код
Сигурни карти: Сигурни карти
Какво представляват показателите за сигурност?
Според един официална публикация на Google Open Source, този проект беше описан по следния начин:
"„Сигурни карти за сигурност“ е един от първите проекти, публикувани в рамките на OpenSSF от създаването му през август 2020 г. Целта е да се генерира самостоятелно „оценка за сигурност“ за проекти с отворен код, за да помогне на потребителите да решат доверието, риска и охранителна поза за техния случай на употреба.
Системата за оценка на сигурността определя първоначални критерии за оценка, които ще бъдат използвани за генериране на карта с резултати за проект с отворен код по напълно автоматизиран начин. Всяка проверка на картата с резултати е приложима. Някои от използваните показатели за оценка включват добре дефинирана политика за сигурност, процес на преглед на кода и текущо покритие на тестване със статичен анализ на кода и размиващи инструменти. Връща се булева стойност, както и оценка на доверието за всяка проверка на сигурността.
С течение на времето Google ще подобри тези показатели с принос на общността чрез OpenSSF." Таблици с показатели за сигурност за проекти с отворен код
Как работят показателите за сигурност?
Според OpenSSF, "Сигурни карти за сигурност" работи по следния начин:
Генерирайте a карта за резултат за проект с отворен код по напълно автоматизиран начин. Въпреки това, в момента кодът работи само с Софтуерни хранилища на GitHub, неговото разширяване до други хранилища на изходен код е в процес на подготовка. Освен това, някои от метрики за оценка използваните включват добре дефинирана политика за сигурност, процес на преглед на кода и текущо покритие на тестване с размиващи инструменти y анализ на статичен код.
Освен това периодично оценява критични проекти с отворен код и излага информацията (данните) от проверките чрез a Публичен набор от данни на BigQuery което се актуализира ежеседмично. И тези данни могат да се използват и за увеличаване на всяко автоматизирано вземане на решения при въвеждане. нови зависимости с отворен код в рамките на проекти или организации.
По този начин организациите биха могли решете по-оптимално Че всеки нова зависимост с ниски резултати трябва да мине през a допълнителна оценка. Така че тези проверки могат да помогнат за смекчаване на злонамерени зависимости от разполагане в производствени системи.
За да разширите тази информация от вашия официален източник (OpenSSF) можете да разгледате следното връзка.
Какво е новото във версия 2.0
това нова версия 2.0 е освободен малко след това Google ще представи изчерпателна рамка, наречена „Нива на веригата за доставки за софтуерни артефакти“ (Нива на веригата на доставки за софтуерни артефакти - SLSA) който се стреми да осигури целостта на софтуерните артефакти и да предотврати неоторизирани модификации по време на тяхното разработване и внедряване.
И включва накратко по общ начин следното новини:
- Подобряване на идентифицирането на възможни известни рискове.
- Засилено откриване на злонамерен сътрудник, като се изисква преглед на код на трета страна преди фиксиране.
- Усъвършенстване на откриването на уязвим код чрез прилагане на статични тестове на кода и непрекъснато размиване.
- Подобряване на идентифицирането на уязвими зависимости, за да се намалят възможните рискове за сигурността и да се даде възможност за вземане на най-подходящите решения за тяхното смекчаване.
За да се задълбочите в детайлите на текущи подобрения или функционалности можете да разгледате следното връзка.
Обобщение
Надяваме се това "полезен малък пост" за «Security Scorecards»
, който е проект, стартиран от Google и Фондация за сигурност с отворен код, който наскоро пусна a нова версия 2.0 че има подобрени тестове и възможности за оптимизиране на генерираните данни за по-нататъшен анализ; представлява голям интерес и полезност, като цяло «Comunidad de Software Libre y Código Abierto»
и от голям принос за разпространението на прекрасната, гигантска и нарастваща екосистема от приложения на «GNU/Linux»
.
Засега, ако това ви е харесало publicación
, Не спирай споделете го с други хора, на любимите ви уебсайтове, канали, групи или общности от социални мрежи или системи за съобщения, за предпочитане безплатни, отворени и / или по-сигурни като Telegram, Сигнал, Мастодон или друг от Fediverse, за предпочитане.
И не забравяйте да посетите нашата начална страница на адрес «DesdeLinux» за да изследвате още новини, както и да се присъедините към официалния ни канал на Телеграма на DesdeLinux. Докато за повече информация можете да посетите всеки Онлайн библиотека като OpenLibra y едит, за достъп и четене на цифрови книги (PDF файлове) по тази тема или други.