Security Scorecards: Hvad er det, og hvad er nyt i den nye version 2.0?
For et par dage siden a ny version 2.0 fra open source-projektet kaldet "Sikkerhedsscorekort", som er et projekt, der blev lanceret i november 2020 af Google og Open Source Security Foundation (OpenSSF).
Af denne grund vil vi i denne publikation dykke lidt dybere ned i det nævnte projekt og dets ny version 2.0, det har nu Forbedrede kontroller og muligheder for at optimere de genererede data til yderligere analyse.
Og da dette projekt er ansvarlig for OpenSSF, forlader vi straks linket til vores tidligere relateret indlæg med det, så hvis det er nødvendigt, kan de, der er interesseret i at lære mere om fonden, let få adgang til det:
"Linux Foundation har annonceret dannelsen af et nyt projekt kaldet "OpenSSF" (Open Source Security Foundation), som har som hovedmål at samle arbejdet hos branchens ledere inden for forbedring af kodesoftware. Med dette vil OpenSSF fortsætte med at udvikle initiativer såsom Infrastructure Initiative og Open Source Security Coalition (Central Infrastructure Initiative og Open Source Security Coalition) og vil samle andet sikkerhedsrelateret arbejde, der udføres af virksomheder, der har tilsluttet sig projektet ..." OpenSSF: et projekt med fokus på at forbedre sikkerheden i open source-software
Security Scorecards: Security Score Cards
Hvad er Security Scorecards?
I henhold til officiel offentliggørelse af Google Open Sourceblev dette projekt beskrevet som følger:
""Security Scorecards" er et af de første projekter, der offentliggøres inden for OpenSSF-rammen siden starten i august 2020. Målet er at selvgenere en "sikkerhedsscore" for open source-projekter for at hjælpe brugerne med at beslutte tillid, risiko og sikkerhedsstilling for deres brugssag.
Security Scorecards definerer et indledende evalueringskriterium, der vil blive brugt til at generere et scorecard til et open source-projekt på en fuldautomatisk måde. Hver kontrol på scorekortet kan handles. Nogle af de anvendte evalueringsmålinger inkluderer en veldefineret sikkerhedspolitik, en kodevurderingsproces og løbende testdækning med statisk kodeanalyse og fuzzing-værktøjer. En boolsk returneres samt en tillidsscore for hver sikkerhedskontrol.
Over tid vil Google forbedre disse metrics med samfundsbidrag gennem OpenSSF." Sikkerhedsscorekort til open source-projekter
Hvordan fungerer Security Scorecards?
Ifølge OpenSSF, "Sikkerhedsscorekort" det fungerer som følger:
Generer en score kort til et open source-projekt på en fuldautomatisk måde. Selvom koden i øjeblikket kun fungerer med GitHub-softwarelagre, dens udvidelse til andre kildekodebaserer er i gang. Desuden er nogle af de evalueringsmålinger anvendt inkluderer en veldefineret sikkerhedspolitik, en kodegennemgangsproces og løbende testdækning med fuzzing værktøjer y analyse af statisk kode.
Derudover evalueres den periodisk kritiske open source-projekter og udsætter informationen (data) om kontrollen gennem en BigQuery offentlige datasæt som opdateres ugentligt. Og disse data kan også bruges til at udvide enhver automatiseret beslutningstagning, når de indtastes. nye open source afhængigheder inden for projekter eller organisationer.
Således kunne organisationer beslutte mere optimalt Det nogen ny afhængighed med lave score skulle gennemgå en yderligere evaluering. Så disse kontroller kan hjælpe med at afbøde ondsindede afhængigheder fra at blive brugt på produktionssystemer.
For at udvide disse oplysninger fra din officiel kilde (OpenSSF) kan du udforske følgende link.
Nyheder i version 2.0
dette ny version 2.0 er blevet frigivet kort tid efter Google vil præsentere en omfattende ramme kaldet "Supply chain tiers for softwareartifakter" (Supply-chain Levels for Software Artefacts - SLSA) der søger at sikre integriteten af softwareartifakter og forhindre uautoriserede ændringer under deres udvikling og implementering.
Og det inkluderer kort på en generel måde følgende nyheder:
- Forbedring af identifikationen af mulige kendte risici.
- Styrket detektering af ondsindede bidragydere ved at kræve tredjepartskodegennemgang inden begåelse.
- Perfekt detektering af sårbar kode gennem implementering af test af statisk kode og kontinuerlig fuzzing.
- Forbedring af identifikationen af sårbare afhængigheder for at afbøde mulige sikkerhedsrisici og gøre det muligt at træffe de mest passende beslutninger til afhjælpning heraf.
At dykke ned i detaljerne i aktuelle forbedringer eller funktionaliteter kan du udforske følgende link.
Resumé
Vi håber det "nyttigt lille indlæg" om «Security Scorecards», som er et projekt lanceret af Google og Open Source Security Foundation, der for nylig udgav en ny version 2.0 at det har forbedret kontrol og kapacitet til at optimere genererede data til senere analyse; er af stor interesse og nytte for hele det «Comunidad de Software Libre y Código Abierto» og med stort bidrag til udbredelsen af det vidunderlige, gigantiske og voksende økosystem af applikationer af «GNU/Linux».
For nu, hvis du kunne lide dette publicación, Stop ikke del det med andre på dine yndlingswebsteder, kanaler, grupper eller samfund af sociale netværk eller messaging-systemer, helst gratis, åbent og / eller mere sikkert som Telegram, Signal, Mastodon eller en anden af Fediverse, helst.
Og husk at besøge vores startside kl «DesdeLinux» for at udforske flere nyheder samt deltage i vores officielle kanal for Telegram af DesdeLinux. Mens, for mere information, kan du besøge enhver Online bibliotek som OpenLibra y jedit, for at få adgang til og læse digitale bøger (PDF-filer) om dette emne eller andre.