Security Scorecards: Was ist das und was ist neu in der neuen Version 2.0?
Vor ein paar Tagen a neue Version 2.0 aus dem Open-Source-Projekt namens "Sicherheits-Scorecards", ein Projekt, das im November 2020 von . ins Leben gerufen wurde Google und Open Source Security Foundation (OpenSSF).
Aus diesem Grund werden wir in dieser Veröffentlichung etwas tiefer in das Projekt und seine neue Version 2.0, das hat jetzt Verbesserte Tests und Funktionen um die generierten Daten für die weitere Analyse zu optimieren.
Und da ist dieses Projekt verantwortlich für die OpenSSF, wir werden sofort den Link von unserem verlassen vorheriger verwandter Beitrag damit Interessierte, die mehr über die Stiftung erfahren möchten, bei Bedarf einfach darauf zugreifen können:
"Die Linux Foundation hat die Gründung eines neuen Projekts namens "OpenSSF" (Open Source Security Foundation) angekündigt, dessen Hauptziel es ist, die Arbeit von Branchenführern im Bereich der Verbesserung der Sicherheit von Code-Software zusammenzuführen. Damit wird OpenSSF Initiativen wie die Infrastructure Initiative und die Open Source Security Coalition (Central Infrastructure Initiative and the Open Source Security Coalition) weiterentwickeln und weitere sicherheitsrelevante Arbeiten der beteiligten Unternehmen zusammenführen . ." OpenSSF: Ein Projekt zur Verbesserung der Sicherheit von Open Source-Software
Sicherheits-Scorecards: Sicherheits-Scorecards
Was sind Sicherheits-Scorecards?
Nach einem offizielle Veröffentlichung von Google Open Source, dieses Projekt wurde wie folgt beschrieben:
"„Security Scorecards“ ist eines der ersten Projekte, das seit seiner Einführung im August 2020 im OpenSSF-Framework veröffentlicht wurde Sicherheitslage für ihren Anwendungsfall.
Security Scorecards definiert ein erstes Bewertungskriterium, das verwendet wird, um vollautomatisch eine Scorecard für ein Open-Source-Projekt zu generieren. Jede Überprüfung auf der Scorecard ist umsetzbar. Einige der verwendeten Bewertungsmetriken umfassen eine gut definierte Sicherheitsrichtlinie, einen Code-Review-Prozess und eine kontinuierliche Testabdeckung mit Fuzzing-Tools und statischer Codeanalyse. Für jede Sicherheitsüberprüfung wird ein boolescher Wert sowie ein Konfidenzwert zurückgegeben.
Im Laufe der Zeit wird Google diese Metriken mit Community-Beiträgen über OpenSSF verbessern." Sicherheits-Scorecards für Open-Source-Projekte
Wie funktionieren Sicherheits-Scorecards?
Nach OpenSSF, "Sicherheits-Scorecards" es funktioniert wie folgt:
Generieren Sie a Scorekarte für ein Open-Source-Projekt vollautomatisch. Allerdings funktioniert der Code derzeit nur mit GitHub-Software-Repositorys, seine Erweiterung auf andere Quellcode-Repositorys ist in Vorbereitung. Darüber hinaus sind einige der Bewertungsmetriken verwendet werden, umfassen eine gut definierte Sicherheitsrichtlinie, einen Code-Review-Prozess und eine laufende Testabdeckung mit Fuzzing-Tools y statische Codeanalyse.
Darüber hinaus wertet es regelmäßig die kritische Open-Source-Projekte und legt die Informationen (Daten) der Schecks durch a Öffentliches BigQuery-Dataset die wöchentlich aktualisiert wird. Und diese Daten können auch verwendet werden, um eine automatisierte Entscheidungsfindung zu unterstützen, wenn sie eingegeben werden. neue Open-Source-Abhängigkeiten innerhalb von Projekten oder Organisationen.
So könnten Organisationen optimaler entscheiden Das jeder neue Abhängigkeit mit niedrige Punktzahlen sollte durch a . gehen zusätzliche Auswertung. Diese Prüfungen könnten also dazu beitragen, bösartige Abhängigkeiten durch die Bereitstellung auf Produktionssystemen zu mindern.
Um diese Informationen von Ihrem offizielle Quelle (OpenSSF) Sie können Folgendes erkunden Link.
Was ist neu in Version 2.0?
dieser neue Version 2.0 wurde kurz darauf veröffentlicht Google wird einen umfassenden Rahmen mit dem Namen "Supply Chain Tiers für Softwareartefakte" (Supply-Chain-Stufen für Software-Artefakte – SLSA) die darauf abzielt, die Integrität von Softwareartefakten sicherzustellen und unbefugte Änderungen während ihrer Entwicklung und Implementierung zu verhindern.
Und es beinhaltet kurz im Allgemeinen Folgendes neu:
- Verbesserung der Identifizierung möglicher bekannter Risiken.
- Verstärkte Erkennung böswilliger Mitwirkender durch obligatorische Codeüberprüfung durch Drittanbieter vor dem Commit.
- Perfektionierung der Erkennung von anfälligem Code durch die Implementierung von statischen Codetests und kontinuierlichem Fuzzing.
- Verbesserung bei der Identifizierung anfälliger Abhängigkeiten, um mögliche Sicherheitsrisiken zu mindern und die am besten geeigneten Entscheidungen zu ihrer Minderung zu treffen.
Um in die Details der aktuelle Erweiterungen oder Funktionalitäten Sie können Folgendes erkunden Link.
Zusammenfassung
Wir hoffen das "hilfreicher kleiner Beitrag" auf «Security Scorecards», ein Projekt, das von . ins Leben gerufen wurde Google und Open Source Security Foundation, der kürzlich ein veröffentlicht hat neue Version 2.0 dass es über verbesserte Tests und Fähigkeiten verfügt, um generierte Daten für die weitere Analyse zu optimieren; ist von großem Interesse und Nutzen für die gesamte «Comunidad de Software Libre y Código Abierto» und von großem Beitrag zur Verbreitung des wunderbaren, gigantischen und wachsenden Ökosystems der Anwendungen von «GNU/Linux».
Fürs Erste, wenn dir das gefallen hat publicación, Halte nicht an teile es mit anderen auf Ihren bevorzugten Websites, Kanälen, Gruppen oder Gemeinschaften von sozialen Netzwerken oder Nachrichtensystemen, vorzugsweise kostenlos, offen und / oder sicherer als Telegram, Signal, Mastodon oder eine andere von Fediverse, vorzugsweise.
Und denken Sie daran, unsere Homepage unter zu besuchen «DesdeLinux» um weitere Neuigkeiten zu erfahren und sich unserem offiziellen Kanal von anzuschließen Telegramm von DesdeLinux. Für weitere Informationen können Sie alle besuchen Online-Bibliothek als OpenLibra y jedit, Zugriff auf und Lesen von digitalen Büchern (PDFs) zu diesem oder anderen Themen.