Security Scorecards: Hvad er det, og hvad er nyt i den nye version 2.0?

Security Scorecards: Hvad er det, og hvad er nyt i den nye version 2.0?

Security Scorecards: Hvad er det, og hvad er nyt i den nye version 2.0?

For et par dage siden a ny version 2.0 fra open source-projektet kaldet "Sikkerhedsscorekort", som er et projekt, der blev lanceret i november 2020 af google og Open Source Security Foundation (OpenSSF).

Af denne grund vil vi i denne publikation dykke lidt dybere ned i det nævnte projekt og dets ny version 2.0, det har nu Forbedrede kontroller og muligheder for at optimere de genererede data til yderligere analyse.

OpenSSF

Og da dette projekt er ansvarlig for OpenSSF, forlader vi straks linket til vores tidligere relateret indlæg med det, så hvis det er nødvendigt, kan de, der er interesseret i at lære mere om fonden, let få adgang til det:

"Linux Foundation har annonceret dannelsen af ​​et nyt projekt kaldet "OpenSSF" (Open Source Security Foundation), som har som hovedmål at samle arbejdet hos branchens ledere inden for forbedring af kodesoftware. Med dette vil OpenSSF fortsætte med at udvikle initiativer såsom Infrastructure Initiative og Open Source Security Coalition (Central Infrastructure Initiative og Open Source Security Coalition) og vil samle andet sikkerhedsrelateret arbejde, der udføres af virksomheder, der har tilsluttet sig projektet ..." OpenSSF: et projekt med fokus på at forbedre sikkerheden i open source-software

relateret artikel:
OpenSSF: et projekt med fokus på at forbedre sikkerheden i open source-software

relateret artikel:
Sigstore: Projekt til forbedring af open source forsyningskæden

Security Scorecards: Security Score Cards

Security Scorecards: Security Score Cards

Hvad er Security Scorecards?

I henhold til officiel offentliggørelse af Google Open Sourceblev dette projekt beskrevet som følger:

""Security Scorecards" er et af de første projekter, der offentliggøres inden for OpenSSF-rammen siden starten i august 2020. Målet er at selvgenere en "sikkerhedsscore" for open source-projekter for at hjælpe brugerne med at beslutte tillid, risiko og sikkerhedsstilling for deres brugssag.

Security Scorecards definerer et indledende evalueringskriterium, der vil blive brugt til at generere et scorecard til et open source-projekt på en fuldautomatisk måde. Hver kontrol på scorekortet kan handles. Nogle af de anvendte evalueringsmålinger inkluderer en veldefineret sikkerhedspolitik, en kodevurderingsproces og løbende testdækning med statisk kodeanalyse og fuzzing-værktøjer. En boolsk returneres samt en tillidsscore for hver sikkerhedskontrol.

Over tid vil Google forbedre disse metrics med samfundsbidrag gennem OpenSSF." Sikkerhedsscorekort til open source-projekter

Hvordan fungerer Security Scorecards?

Ifølge OpenSSF"Sikkerhedsscorekort" det fungerer som følger:

Generer en score kort til et open source-projekt på en fuldautomatisk måde. Selvom koden i øjeblikket kun fungerer med GitHub-softwarelagre, dens udvidelse til andre kildekodebaserer er i gang. Desuden er nogle af de evalueringsmålinger anvendt inkluderer en veldefineret sikkerhedspolitik, en kodegennemgangsproces og løbende testdækning med fuzzing værktøjer y analyse af statisk kode.

Derudover evalueres den periodisk kritiske open source-projekter og udsætter informationen (data) om kontrollen gennem en BigQuery offentlige datasæt som opdateres ugentligt. Og disse data kan også bruges til at udvide enhver automatiseret beslutningstagning, når de indtastes. nye open source afhængigheder inden for projekter eller organisationer.

Således kunne organisationer beslutte mere optimalt Det nogen ny afhængighed med lave score skulle gennemgå en yderligere evaluering. Så disse kontroller kan hjælpe med at afbøde ondsindede afhængigheder fra at blive brugt på produktionssystemer.

For at udvide disse oplysninger fra din officiel kilde (OpenSSF) kan du udforske følgende link.

Nyheder i version 2.0

dette ny version 2.0 er blevet frigivet kort tid efter google vil præsentere en omfattende ramme kaldet "Supply chain tiers for softwareartifakter" (Supply-chain Levels for Software Artefacts - SLSA) der søger at sikre integriteten af ​​softwareartifakter og forhindre uautoriserede ændringer under deres udvikling og implementering.

Og det inkluderer kort på en generel måde følgende nyheder:

  1. Forbedring af identifikationen af ​​mulige kendte risici.
  2. Styrket detektering af ondsindede bidragydere ved at kræve tredjepartskodegennemgang inden begåelse.
  3. Perfekt detektering af sårbar kode gennem implementering af test af statisk kode og kontinuerlig fuzzing.
  4. Forbedring af identifikationen af ​​sårbare afhængigheder for at afbøde mulige sikkerhedsrisici og gøre det muligt at træffe de mest passende beslutninger til afhjælpning heraf.

At dykke ned i detaljerne i aktuelle forbedringer eller funktionaliteter kan du udforske følgende link.

Resume: Forskellige publikationer

Resumé

Vi håber det "nyttigt lille indlæg" om «Security Scorecards», som er et projekt lanceret af google og Open Source Security Foundation, der for nylig udgav en ny version 2.0 at det har forbedret kontrol og kapacitet til at optimere genererede data til senere analyse; er af stor interesse og nytte for hele det «Comunidad de Software Libre y Código Abierto» og med stort bidrag til udbredelsen af ​​det vidunderlige, gigantiske og voksende økosystem af applikationer af «GNU/Linux».

For nu, hvis du kunne lide dette publicación, Stop ikke del det med andre på dine yndlingswebsteder, kanaler, grupper eller samfund af sociale netværk eller messaging-systemer, helst gratis, åbent og / eller mere sikkert som TelegramSignalMastodon eller en anden af Fediverse, helst.

Og husk at besøge vores startside kl «Fra Linux» for at udforske flere nyheder samt deltage i vores officielle kanal for Telegram fra FromLinuxMens, for mere information, kan du besøge enhver Online bibliotek som OpenLibra y JedIT, for at få adgang til og læse digitale bøger (PDF-filer) om dette emne eller andre.


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.