Κάρτες αποτελεσμάτων ασφαλείας: Τι είναι και τι νέο υπάρχει στη νέα του έκδοση 2.0;

Linux Post Install

6 λεπτά

Κάρτες αποτελεσμάτων ασφαλείας: Τι είναι και τι νέο υπάρχει στη νέα του έκδοση 2.0;

Κάρτες αποτελεσμάτων ασφαλείας: Τι είναι και τι νέο υπάρχει στη νέα του έκδοση 2.0;

Πριν από λίγες μέρες α νέα έκδοση 2.0 από το έργο ανοιχτού κώδικα που ονομάζεται "Κάρτες αποτελεσμάτων ασφαλείας", το οποίο είναι ένα έργο που ξεκίνησε τον Νοέμβριο του 2020 από Google και Ίδρυμα ασφάλειας ανοιχτού κώδικα (OpenSSF).

Λόγος για τον οποίο, σε αυτήν την έκδοση θα εξετάσουμε λίγο για το εν λόγω έργο και το έργο του νέα έκδοση 2.0, που έχει τώρα Βελτιωμένοι έλεγχοι και δυνατότητες για τη βελτιστοποίηση των δεδομένων που δημιουργούνται για περαιτέρω ανάλυση.

OpenSSF

Και δεδομένου ότι αυτό το έργο είναι υπεύθυνο για το OpenSSF, θα αφήσουμε αμέσως τον σύνδεσμο του προηγούμενη σχετική ανάρτηση με αυτό, έτσι ώστε εάν είναι απαραίτητο, όσοι ενδιαφέρονται να μάθουν περισσότερα για το ίδρυμα μπορούν να έχουν εύκολη πρόσβαση σε αυτό:

"Το Linux Foundation ανακοίνωσε τη δημιουργία ενός νέου έργου που ονομάζεται "OpenSSF" (Open Source Security Foundation) το οποίο έχει ως κύριο στόχο να φέρει σε επαφή το έργο των ηγετών του κλάδου στον τομέα της βελτίωσης της ασφάλειας λογισμικού κώδικα. Με αυτό, το OpenSSF θα συνεχίσει να αναπτύσσει πρωτοβουλίες όπως η Πρωτοβουλία Υποδομής και ο Συνασπισμός Ασφαλείας Ανοιχτού Κώδικα (Πρωτοβουλία Κεντρικής Υποδομής και ο Συνασπισμός Ανοιχτού Κώδικα Ασφαλείας) και θα συγκεντρώσει άλλες εργασίες που σχετίζονται με την ασφάλεια που εκτελούνται από εταιρείες που έχουν ενταχθεί στο έργο. ." OpenSSF: ένα έργο που επικεντρώνεται στη βελτίωση της ασφάλειας του λογισμικού ανοιχτού κώδικα

OpenSSF
σχετικό άρθρο:
OpenSSF: ένα έργο που επικεντρώνεται στη βελτίωση της ασφάλειας του λογισμικού ανοιχτού κώδικα
 Sigstore: Έργο για τη βελτίωση της αλυσίδας εφοδιασμού ανοιχτού κώδικα
σχετικό άρθρο:
Sigstore: Έργο για τη βελτίωση της αλυσίδας εφοδιασμού ανοιχτού κώδικα

Κάρτες αποτελεσμάτων ασφαλείας: Κάρτες βαθμολογίας ασφαλείας

Κάρτες αποτελεσμάτων ασφαλείας: Κάρτες βαθμολογίας ασφαλείας

Τι είναι οι κάρτες αποτελεσμάτων ασφαλείας;

Σύμφωνα με ένα επίσημη δημοσίευση του Google Open Source, αυτό το έργο περιγράφηκε ως εξής:

"Το "Security Scorecards" είναι ένα από τα πρώτα έργα που δημοσιεύθηκαν στο πλαίσιο του OpenSSF από την έναρξή του τον Αύγουστο του 2020. Ο στόχος είναι να δημιουργηθεί μόνος του ένα "σκορ ασφαλείας" για έργα ανοιχτού κώδικα για να βοηθήσει τους χρήστες να αποφασίσουν την εμπιστοσύνη, τον κίνδυνο και στάση ασφαλείας για τη θήκη χρήσης τους.

Το Security Scorecards καθορίζει ένα αρχικό κριτήριο αξιολόγησης που θα χρησιμοποιηθεί για τη δημιουργία μιας κάρτας αποτελεσμάτων για ένα έργο ανοιχτού κώδικα με έναν πλήρως αυτοματοποιημένο τρόπο. Κάθε έλεγχος στην κάρτα αποτελεσμάτων είναι ενεργή. Ορισμένες από τις μετρήσεις αξιολόγησης που χρησιμοποιούνται περιλαμβάνουν μια σαφώς καθορισμένη πολιτική ασφάλειας, μια διαδικασία ελέγχου κώδικα και συνεχή κάλυψη δοκιμών με στατική ανάλυση κώδικα και εργαλεία συγκερασμού. Επιστρέφεται ένα Boolean καθώς και βαθμολογία εμπιστοσύνης για κάθε έλεγχο ασφαλείας.

Με την πάροδο του χρόνου, η Google θα βελτιώσει αυτές τις μετρήσεις με συνεισφορές κοινότητας μέσω του OpenSSF." Κάρτες αποτελεσμάτων ασφαλείας για έργα ανοιχτού κώδικα

Πώς λειτουργεί η κάρτα αποτελεσμάτων ασφαλείας;

σύμφωνα με OpenSSF"Κάρτες αποτελεσμάτων ασφαλείας" λειτουργεί ως εξής:

Δημιουργήστε ένα πίνακας βαθμολογίας για ένα έργο ανοιχτού κώδικα με πλήρως αυτοματοποιημένο τρόπο. Αν και, προς το παρόν ο κώδικας λειτουργεί μόνο Αποθήκες λογισμικού GitHub, η επέκτασή του σε άλλα αποθετήρια πηγαίου κώδικα βρίσκεται σε εξέλιξη. Επιπλέον, μερικά από τα μετρήσεις αξιολόγησης χρησιμοποιούνται περιλαμβάνουν μια καλά καθορισμένη πολιτική ασφάλειας, μια διαδικασία ελέγχου κώδικα και συνεχή κάλυψη δοκιμών με συγκεχυμένα εργαλεία y ανάλυση στατικού κώδικα.

Επιπλέον, αξιολογεί περιοδικά το κρίσιμα έργα ανοιχτού κώδικα και εκθέτει τις πληροφορίες (δεδομένα) των ελέγχων μέσω ενός Δημόσιο σύνολο δεδομένων BigQuery το οποίο ενημερώνεται κάθε εβδομάδα. Και αυτά τα δεδομένα μπορούν επίσης να χρησιμοποιηθούν για να αυξήσουν οποιαδήποτε αυτοματοποιημένη λήψη αποφάσεων κατά την εισαγωγή τους. νέες εξαρτήσεις ανοιχτού κώδικα εντός έργων ή οργανισμών.

Έτσι, οι οργανισμοί θα μπορούσαν αποφασίζουμε πιο βέλτιστα Οτιδήποτε νέα εξάρτηση με χαμηλές βαθμολογίες πρέπει να περάσει από ένα πρόσθετη αξιολόγηση. Έτσι, αυτοί οι έλεγχοι θα μπορούσαν να βοηθήσουν στη μείωση των κακόβουλων εξαρτήσεων από την ανάπτυξη σε συστήματα παραγωγής.

Για να επεκτείνετε αυτές τις πληροφορίες από το δικό σας επίσημη πηγή (OpenSSF) μπορείτε να εξερευνήσετε τα ακόλουθα σύνδεσμος.

Τι νέο υπάρχει στην έκδοση 2.0

Αυτό νέα έκδοση 2.0 κυκλοφόρησε λίγο μετά Google θα παρουσιάσει ένα ολοκληρωμένο πλαίσιο που ονομάζεται "Επίπεδα αλυσίδας εφοδιασμού για τεχνουργήματα λογισμικού" (Επίπεδα αλυσίδας εφοδιασμού για αντικείμενα λογισμικού - SLSA) που επιδιώκει να διασφαλίσει την ακεραιότητα των τεχνουργημάτων λογισμικού και να αποτρέψει τις μη εξουσιοδοτημένες τροποποιήσεις κατά την ανάπτυξη και την εφαρμογή τους.

Και περιλαμβάνει εν συντομία τα ακόλουθα ειδήσεις:

  1. Βελτίωση στον εντοπισμό πιθανών γνωστών κινδύνων.
  2. Ενίσχυσε τον εντοπισμό κακόβουλου συνεργάτη, απαιτώντας έλεγχο κώδικα τρίτου μέρους πριν από τη δέσμευση.
  3. Τελειοποίηση της ανίχνευσης ευάλωτου κώδικα μέσω της εφαρμογής δοκιμών στατικού κώδικα και συνεχούς ασαφής.
  4. Βελτίωση στον εντοπισμό ευάλωτων εξαρτήσεων για τον μετριασμό των πιθανών κινδύνων ασφαλείας και επιτρέπει τη λήψη των πλέον κατάλληλων αποφάσεων για τον μετριασμό τους.

Για να ερευνήσετε τις λεπτομέρειες του τρέχουσες βελτιώσεις ή λειτουργίες μπορείτε να εξερευνήσετε τα ακόλουθα σύνδεσμος.

Περίληψη: Διάφορες εκδόσεις

περίληψη

Ελπίζουμε αυτό "χρήσιμη μικρή ανάρτηση" επί «Security Scorecards», το οποίο είναι ένα έργο που ξεκίνησε από Google και Ίδρυμα ασφάλειας ανοιχτού κώδικα, ο οποίος κυκλοφόρησε πρόσφατα ένα νέα έκδοση 2.0 ότι έχει βελτιώσει τους ελέγχους και τις δυνατότητες βελτιστοποίησης των παραγόμενων δεδομένων για μελλοντική ανάλυση · έχει μεγάλο ενδιαφέρον και χρησιμότητα, για το σύνολο «Comunidad de Software Libre y Código Abierto» και μεγάλη συμβολή στη διάδοση του υπέροχου, γιγαντιαίου και αναπτυσσόμενου οικοσυστήματος εφαρμογών του «GNU/Linux».

Προς το παρόν, αν σας άρεσε αυτό publicación, Μην σταματάς μοιραστείτε το με άλλους, στους αγαπημένους σας ιστότοπους, κανάλια, ομάδες ή κοινότητες κοινωνικών δικτύων ή συστημάτων ανταλλαγής μηνυμάτων, κατά προτίμηση δωρεάν, ανοιχτό ή / και πιο ασφαλές ως TelegramΣήμαΜαστόδοντας ή άλλο Fediverse, κατά προτίμηση.

Και θυμηθείτε να επισκεφτείτε την αρχική μας σελίδα στο «DesdeLinux» για να εξερευνήσετε περισσότερες ειδήσεις, καθώς και να εγγραφείτε στο επίσημο κανάλι μας Τηλεγράφημα από DesdeLinuxΕνώ, για περισσότερες πληροφορίες, μπορείτε να επισκεφθείτε οποιαδήποτε Διαδικτυακή βιβλιοθήκη ως OpenLibra y jedit, για πρόσβαση και ανάγνωση ψηφιακών βιβλίων (PDF) σε αυτό το θέμα ή σε άλλα.


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.