Security Scorecards: Què és i que novetats porta la seva nova versió 2.0?
Fa pocs dies ha sortit una nova versió 2.0 de el projecte de codi obert anomenat Security Scorecards, El qual és un projecte que va ser llançat al novembre de 2020 per google i la Fundació de la Seguretat de Codi Obert (Open Source Security Foundation - OpenSSF).
Raó per la qual, en aquesta publicació aprofundirem una mica sobre aquest projecte i sobre la seva nova versió 2.0, que ara compta amb comprovacions i capacitats millorades per optimitzar les dades generades per a la seva anàlisi posterior.
I atès que, dit projecte està a càrrec de la OpenSSF, Deixarem immediatament més avall l'enllaç de la nostra anterior publicació relacionada amb la mateixa, perquè en cas de ser necessari, aquells interessats en aprofundir sobre aquesta Fundació puguin accedir fàcilment a la mateixa:
"La Fundació Linux ha anunciat la formació d'un nou projecte anomenat «OpenSSF» (Open Source Security Foundation) el qual té com a objectiu principal el de reunir el treball dels líders de la indústria en el camp de la millora de la seguretat del programari de codi obert. Amb això OpenSSF continuarà desenvolupant iniciatives com la Infrastructure Initiative i Open Source Security Coalition (Iniciativa d'Infraestructura Central i la Coalició de Seguretat de Codi Obert) i reunirà altres treballs relacionats amb la seguretat que estan duent a terme les empreses que s'han unit a el projecte ." OpenSSF: un projecte enfocat a millorar la seguretat del programari de codi obert
Security Scorecards: Targetes de puntuació de seguretat
Què és Security Scorecards?
segons una publicació oficial de l'Google Open Source, Aquest projecte va ser descrit de la següent manera:
"«Security Scorecards» és un dels primers projectes que es publiquen en el marc de la OpenSSF des de la seva creació a l'agost de 2020. L'objectiu de la mateixa és autogenerar una "puntuació de seguretat» per als projectes de codi obert per tal d'ajudar als usuaris a decidir la confiança, el risc i la postura de seguretat per al seu cas d'ús.
«Security Scorecards» defineix un criteri d'avaluació inicial que s'utilitzarà per generar una targeta de puntuació per a un projecte de codi obert de forma totalment automatitzada. Cada comprovació de l'scorecard és processable. Algunes de les mètriques d'avaluació utilitzades inclouen una política de seguretat ben definida, un procés de revisió de codi i una cobertura de proves contínua amb eines de fuzzing i anàlisi de codi estàtic. Es retorna un booleà així com una puntuació de confiança per a cada comprovació de seguretat.
Amb el temps, Google millorarà aquestes mètriques amb les contribucions de la comunitat a través de l'OpenSSF." Targetes de puntuació de seguretat per a projectes de codi obert (Security scorecards for open source projects)
Com funciona Security Scorecards?
Segons la OpenSSF, Security Scorecards funciona de la següent manera:
genera una targeta de puntuació per a un projecte de codi obert de forma totalment automatitzada. Encara que, actualment el codi només funciona amb repositoris de programari de GitHub, Està en projecte la seva ampliació cap a altres repositoris de codi font. A més, algunes de les mètriques d'avaluació utilitzades inclouen una política de seguretat ben definida, un procés de revisió de codi i una cobertura de proves contínua amb eines de fuzzing y anàlisi de codi estàtic.
A més, avalua periòdicament els projectes crítics de codi obert i exposa la informació (dades) de les comprovacions a través d'un conjunt de dades públic de BigQuery que s'actualitza setmanalment. I aquestes dades també poden utilitzar-se per augmentar qualsevol presa de decisions de forma automatitzada quan s'introdueixen noves dependències de codi obert dins els projectes o en les organitzacions.
Per tant, les organitzacions poguessin decidir de forma més òptima que qualsevol nova dependència amb puntuacions baixes hauria de passar per una avaluació addicional. Pel que, aquestes comprovacions podrien ajudar a mitigar que les dependències malicioses es despleguin en els sistemes de producció.
Per ampliar aquesta informació des de la seva font oficial (OpenSSF) per visitar el següent enllaç.
Novetats de la versió 2.0
Aquesta nova versió 2.0 ha estat alliberada poc després que google presentés un framework de treball integral anomenat «Nivells de cadena de subministrament per a artefactes de programari» (Supply-chain Levels for Programari Artifacts - SLSA) que busca garantir la integritat dels artefactes de programari i evitar les modificacions no autoritzades durant el seu desenvolupament i implementació.
I la mateixa inclou breument de forma general les següents novetats:
- Millora en la identificació dels possibles riscos coneguts.
- Reforçament de la detecció de col·laboradors malintencionats mitjançant la revisió obligatòria de el codi per part d'un altre desenvolupador abans de la seva confirmació.
- Perfeccionament de la detecció de codi vulnerable per mitjà de la implementació de proves de codi estàtic i fuzzing continu.
- Millora en la identificació de dependències vulnerables per mitigar els possibles riscos de seguretat i permetre prendre les més adequades decisions per a la seva mitigació.
Per aprofundir en els detalls de les millores o funcionalitats actuals per visitar el següent enllaç.
Resum
Esperem que aquesta "petita i útil publicació" sobre «Security Scorecards», El qual és un Projecte llançat per google i la Fundació de la Seguretat de Codi Obert (Open Source Security Foundation), Que recentment ha tret una nova versió 2.0 que compta amb comprovacions i capacitats millorades per optimitzar les dades generades per a la seva anàlisi posterior; sigui de molt interès i utilitat, per a tota la «Comunidad de Software Libre y Código Abierto» i de gran contribució a la difusió de l'meravellós, gegantí i creixent ecosistema d'aplicacions de «GNU/Linux».
Per ara, si t'ha agradat aquesta publicación, No deixis de compartir amb d'altres, en els teus llocs web, canals, grups o comunitats favorites de xarxes socials o sistemes de missatgeria, preferiblement lliures, obertes i / o més segures com telegram, Senyal, Mastodon o una altra de l' Fedivers, Preferiblement.
I recorda visitar la nostra pàgina d'inici en «DesdeLinux» per explorar més notícies, a més d'unir-te al nostre canal oficial de Telegram de DesdeLinux. Mentre que, per a més informació, pots visitar qualsevol Biblioteca en línia com a OpenLibra y jEdit, per accedir i llegir llibres digitals (PDFs) sobre aquest tema o altres.