Sigurnosne ocjene: Što je to i što je novo u novoj verziji 2.0?
Prije nekoliko dana a nova verzija 2.0 iz projekta otvorenog koda pod nazivom "Sigurnosne ocjene", što je projekt koji je pokrenuo u novembru 2020 Google I to Open Source Security Foundation (OpenSSF).
Iz tog razloga ćemo se u ovoj publikaciji malo dublje pozabaviti navedenim projektom i njegovim projektima nova verzija 2.0, to sada ima Poboljšano testiranje i mogućnosti za optimizaciju podataka generiranih za dalju analizu.
A budući da je ovaj projekat zadužen za OpenSSF, odmah ćemo napustiti vezu našeg prethodni srodni post uz nju, tako da ako je potrebno, oni koji žele saznati više o spomenutoj Fondaciji mogu joj lako pristupiti:
"Linux Foundation najavio je osnivanje novog projekta pod nazivom "OpenSSF" (Open Source Security Foundation) čiji je glavni cilj okupiti rad lidera u industriji na polju poboljšanja sigurnosti softvera koda. Ovim će OpenSSF nastaviti razvijati inicijative poput Infrastrukturne inicijative i Sigurnosne koalicije otvorenog koda (Centralna infrastrukturna inicijativa i Sigurnosna koalicija otvorenog koda) i okupiti ostale poslove vezane za sigurnost koje provode kompanije koje su se pridružile projektu ." OpenSSF: projekat usmjeren na poboljšanje sigurnosti softvera otvorenog koda
Sigurnosne ocjene: Sigurnosne ocjene
Šta su sigurnosne ocjene?
Prema a zvanična publikacija Google Open Source, ovaj projekt je opisan na sljedeći način:
""Sigurnosne ocjene" jedan je od prvih projekata koji je objavljen u okviru OpenSSF-a od svog osnivanja u kolovozu 2020. Cilj je samostalno generirati "sigurnosnu ocjenu" za projekte otvorenog koda kako bi pomogli korisnicima da odluče o povjerenju, riziku i sigurnosno držanje za njihov slučaj upotrebe.
Sigurnosne ocjene definiraju početne kriterije procjene koji će se koristiti za generiranje tablice rezultata za projekt otvorenog koda na potpuno automatiziran način. Svaka provjera na tablici rezultata može se izvršiti. Neke od korištenih metrika evaluacije uključuju dobro definiranu sigurnosnu politiku, postupak pregleda koda i kontinuirano pokrivanje testiranjem pomoću nejasnih alata i statičke analize koda. Vraća se logička vrijednost kao i ocjena pouzdanosti za svaku sigurnosnu provjeru.
Vremenom će Google poboljšati ove metrike doprinosima zajednice putem OpenSSF-a." Sigurnosne tablice rezultata za projekte otvorenog koda
Kako funkcioniraju sigurnosne ocjene?
Prema rečima OpenSSF, "Sigurnosne ocjene" radi na sljedeći način:
Generiši a score card za projekat otvorenog koda na potpuno automatiziran način. Iako trenutno kod radi samo sa GitHub spremišta softvera, njegovo proširenje na druga spremišta izvornog koda je u pripremi. Nadalje, neki od metrika procjene koji se koriste uključuju dobro definiranu sigurnosnu politiku, postupak pregleda koda i pokrivenost u toku sa rasplinjavanje alata y statička analiza koda.
Pored toga, povremeno procjenjuje kritični projekti otvorenog koda i izlaže informacije (podatke) provjera putem a Javni skup podataka BigQuery koji se ažurira svake sedmice. A ti se podaci također mogu koristiti za uvećavanje svakog automatiziranog donošenja odluka kada se unesu. nove zavisnosti otvorenog koda u okviru projekata ili organizacija.
Stoga su organizacije mogle odlučite optimalnije Da bilo koji nova zavisnost con niske ocjene treba proći kroz dodatna evaluacija. Dakle, ove provjere mogu pomoći u ublažavanju zlonamjernih ovisnosti od postavljanja na proizvodne sisteme.
Da biste proširili ove podatke iz svog službeni izvor (OpenSSF) možete istražiti sljedeće link.
Što je novo u verziji 2.0
Ovo nova verzija 2.0 je pušten ubrzo nakon toga Google predstavit će sveobuhvatan okvir tzv "Razine lanca opskrbe za softverske artefakte" (Nivoi lanca isporuke za softverske artefakte - SLSA) kojim se želi osigurati integritet softverskih artefakata i spriječiti neovlaštene modifikacije tijekom njihovog razvoja i implementacije.
I ukratko na slijedeći način uključuje sljedeće vijesti:
- Poboljšanje u identifikaciji mogućih poznatih rizika.
- Ojačano otkrivanje zlonamjernih saradnika putem obaveznog pregleda koda treće strane prije urezivanja.
- Usavršavanje otkrivanja ranjivog koda primenom statičkih testova koda i kontinuiranim fuzzingom.
- Poboljšanje u identifikaciji ranjivih zavisnosti radi ublažavanja mogućih sigurnosnih rizika i omogućavanja donošenja najprikladnijih odluka za njihovo ublažavanje.
Da uđem u detalje trenutna poboljšanja ili funkcionalnosti možete istražiti sljedeće link.
Resumen
Nadamo se ovome "koristan mali post" o «Security Scorecards», koji je projekat pokrenuo Google I to Fondacija za sigurnost otvorenog koda, koji je nedavno objavio a nova verzija 2.0 da ima poboljšana testiranja i mogućnosti za optimizaciju generiranih podataka za dalju analizu; je od velikog interesa i korisnosti, u cjelini «Comunidad de Software Libre y Código Abierto» i od velikog doprinosa širenju divnog, gigantskog i rastućeg ekosistema aplikacija «GNU/Linux».
Za sada, ako vam se ovo svidjelo publicación, Nemoj stati podelite s drugima na vašim omiljenim web lokacijama, kanalima, grupama ili zajednicama društvenih mreža ili sistema za razmjenu poruka, po mogućnosti besplatno, otvoreno i / ili sigurnije kao telegram, signal, Mastodon ili neko drugi od Fediverse, po mogućnosti.
I ne zaboravite posjetiti našu početnu stranicu na «DesdeLinux» da istražite još vijesti, kao i da se pridružite našem službenom kanalu Telegram od DesdeLinux. Za više informacija možete posjetiti bilo koji Internet biblioteka como OpenLibra y jedit, za pristup i čitanje digitalnih knjiga (PDF-ova) o ovoj temi ili drugima.