Bezpečnostní skóre: Co to je a co je nového v jeho nové verzi 2.0?
Před několika dny a nová verze 2.0 z projektu open source s názvem „Bezpečnostní přehledy“, což je projekt, který byl zahájen v listopadu 2020 společností Google a Open Source Security Foundation (OpenSSF).
Z tohoto důvodu se v této publikaci ponoříme trochu hlouběji do uvedeného projektu a jeho nová verze 2.0, to teď má Vylepšené testování a možnosti optimalizovat generovaná data pro další analýzu.
A protože tento projekt má na starosti OpenSSF, okamžitě opustíme odkaz našich předchozí související příspěvek s ním, aby v případě potřeby k němu měli snadný přístup zájemci o další informace o uvedené nadaci:
"Linux Foundation oznámila vytvoření nového projektu s názvem "OpenSSF" (Open Source Security Foundation), jehož hlavním cílem je spojit práci lídrů v oboru v oblasti zvyšování bezpečnosti kódového softwaru. S tímto bude OpenSSF pokračovat v rozvoji iniciativ, jako je Infrastructure Initiative a Open Source Security Coalition (Central Infrastructure Initiative and the Open Source Security Coalition), a spojí další práce související s bezpečností prováděné společnostmi, které se do projektu zapojily ..." OpenSSF: projekt zaměřený na zlepšení zabezpečení softwaru s otevřeným zdrojovým kódem
Bezpečnostní skóre: Bezpečnostní skóre
Co jsou bezpečnostní skóre?
Podle a oficiální publikace Google Open Sourcebyl tento projekt popsán následovně:
"„Security Scorecards“ je jedním z prvních projektů, které byly publikovány v rámci OpenSSF od jeho založení v srpnu 2020. Cílem je samo-generování „skóre zabezpečení“ pro open source projekty, které uživatelům pomůže rozhodnout o důvěře, riziku a bezpečnostní pozice pro jejich případ použití.
Bezpečnostní scorecards definuje počáteční hodnotící kritéria, která se použijí ke generování scorecard pro open source projekt plně automatizovaným způsobem. Každá kontrola na rychlém přehledu je žalovatelná. Některé použité metriky hodnocení zahrnují dobře definovanou bezpečnostní politiku, proces kontroly kódu a průběžné testování pokrytí statickou analýzou kódu a fuzzovacími nástroji. Vrací se logická hodnota a skóre spolehlivosti pro každou bezpečnostní kontrolu.
V průběhu času Google tyto metriky vylepší pomocí příspěvků komunity prostřednictvím OpenSSF." Přehledy zabezpečení pro projekty open source
Jak fungují bezpečnostní tabulky?
Podle OpenSSF, „Bezpečnostní přehledy“ funguje to takto:
Generovat a bodovací karta pro open source projekt plně automatizovaným způsobem. I když v současné době kód funguje pouze s Úložiště softwaru GitHub, je připravována jeho expanze do dalších úložišť zdrojového kódu. Kromě toho některé z hodnotící metriky používané zahrnují dobře definovanou bezpečnostní politiku, proces kontroly kódu a průběžné testování pokrytí s fuzzing nástroje y statická analýza kódu.
Kromě toho pravidelně vyhodnocuje kritické open source projekty a vystavuje informace (data) kontrol prostřednictvím a Veřejná datová sada BigQuery který je aktualizován každý týden. A tato data lze také použít k rozšíření jakéhokoli automatizovaného rozhodování při zadání. nové závislosti na otevřených zdrojích v rámci projektů nebo organizací.
Organizace tedy mohly rozhodnout se optimálněji To vůbec nová závislost s nízké skóre by měl projít a dodatečné hodnocení. Tyto kontroly by tedy mohly pomoci zmírnit škodlivé závislosti před nasazením na produkční systémy.
Chcete-li rozšířit tyto informace ze svého oficiální zdroj (OpenSSF) můžete prozkoumat následující odkaz.
Co je nového ve verzi 2.0
Tento nová verze 2.0 byl propuštěn krátce poté Google představí komplexní rámec nazvaný „Úrovně dodavatelského řetězce pro softwarové artefakty“ (Úrovně dodavatelského řetězce pro softwarové artefakty - SLSA) která se snaží zajistit integritu softwarových artefaktů a zabránit neoprávněným úpravám během jejich vývoje a implementace.
A stručně zahrnuje obecně následující nový:
- Zlepšení identifikace možných známých rizik.
- Posílená detekce škodlivého přispěvatele vyžadováním kontroly kódu třetí strany před potvrzením.
- Zdokonalení detekce zranitelného kódu implementací testů statického kódu a neustálým fuzzováním.
- Zlepšení identifikace zranitelných závislostí za účelem zmírnění možných bezpečnostních rizik a umožnění přijímání nejvhodnějších rozhodnutí pro jejich zmírnění.
Ponořit se do podrobností aktuální vylepšení nebo funkce můžete prozkoumat následující odkaz.
Shrnutí
Doufáme v to "užitečný malý příspěvek" na «Security Scorecards», což je projekt zahájený Google a Open Source Security Foundation, který nedávno vydal nová verze 2.0 že má vylepšené testování a schopnosti optimalizovat generovaná data pro další analýzu; je velmi zajímavý a užitečný pro všechny «Comunidad de Software Libre y Código Abierto» a velkým příspěvkem k šíření nádherného, gigantického a rostoucího ekosystému aplikací «GNU/Linux».
Prozatím, pokud se vám to líbilo publicación, Nepřestávej sdílet to s ostatními, na vašich oblíbených webových stránkách, kanálech, skupinách nebo komunitách sociálních sítí nebo systémů zasílání zpráv, nejlépe zdarma, otevřeně a / nebo bezpečněji jako Telegram, Signálu, Mastodon nebo jiný z Fediverse, nejlépe.
A nezapomeňte navštívit naši domovskou stránku na «DesdeLinux» prozkoumat další novinky a připojit se k našemu oficiálnímu kanálu Telegram z DesdeLinux. Zatímco pro více informací můžete navštívit jakékoli Online knihovna jak OpenLibra y jedit, přístup a čtení digitálních knih (PDF) o tomto tématu nebo jiných.