Turvalisuse tulemuskaardid: mis see on ja mis on uut selle uues versioonis 2.0?
Mõni päev tagasi a uus versioon 2.0 nimega avatud lähtekoodiga projektist "Turvalisuse tulemuskaardid", mis on projekt, mille käivitas 2020. aasta novembris Google ja Avatud lähtekoodiga turvalisuse fond (OpenSSF).
Sel põhjusel süveneme selles väljaandes nimetatud projekti ja selle juurde uus versioon 2.0, mis nüüd on Tõhustatud testimine ja võimalused täiendavaks analüüsiks loodud andmete optimeerimiseks.
Ja kuna selle projekti eest vastutab OpenSSF, jätame kohe oma lingi eelmine seotud postitus sellega, et vajadusel saaksid fondist lähemalt teada saada huvitatud inimesed sellele hõlpsasti juurde pääseda:
"Linuxi fond on teatanud uue projekti "OpenSSF" (Open Source Security Foundation) moodustamisest, mille peamine eesmärk on koondada tööstuse juhtide töö kooditarkvara turvalisuse suurendamise valdkonnas. Sellega jätkab OpenSSF selliste algatuste väljatöötamist nagu infrastruktuuri algatus ja avatud lähtekoodiga turvalisuse koalitsioon (keskne infrastruktuuri algatus ja avatud lähtekoodiga turvalisuse koalitsioon) ning koondab muud projektiga liitunud ettevõtete turvalisusega seotud tööd ..." OpenSSF: avatud lähtekoodiga tarkvara turvalisuse parandamisele keskendunud projekt
Turvalisuse tulemuskaardid: Turvalisuse tulemuskaardid
Mis on turvalisuse tulemuskaardid?
Vastavalt a Google Open Source'i ametlik väljaanne, kirjeldati seda projekti järgmiselt:
""Turvalisuse tulemuskaardid" on üks esimesi projekte, mis avaldati OpenSSF-i raamistikus alates selle loomisest 2020. aasta augustis. Eesmärk on luua avatud lähtekoodiga projektide jaoks "turvalisuse skoor", mis aitab kasutajatel usalduse, riski ja turvaasend nende kasutamiseks.
Turvalisuse tulemuskaardid määratlevad esialgsed hindamiskriteeriumid, mida kasutatakse avatud lähtekoodiga projekti tulemuskaardi loomiseks täielikult automatiseeritud viisil. Iga tulemuskaardi kontroll on teostatav. Mõned kasutatavad hindamismõõdikud hõlmavad täpselt määratletud turbepoliitikat, koodi ülevaatamise protsessi ja staatilise koodianalüüsi ning fuzzingu tööriistade pidevat testimist. Tagastatakse tõeväärtus ning iga turvakontrolli usalduse skoor.
Aja jooksul täiustab Google neid mõõdikuid OpenSSF-i kaudu kogukonna panusega." Turvalisuse tulemuskaardid avatud lähtekoodiga projektidele
Kuidas Turvalisuse tulemuskaardid töötavad?
vastavalt OpenSSF, "Turvalisuse tulemuskaardid" see töötab järgmiselt:
Loo a skoor kaart avatud lähtekoodiga projekti jaoks täielikult automatiseeritud viisil. Kuigi praegu töötab kood ainult GitHubi tarkvarahoidlad, selle laiendamine teistele lähtekoodihoidlatele on pooleli. Lisaks on mõned hindamismõõdikud kasutatavad hõlmavad täpselt määratletud turbepoliitikat, koodi ülevaatamise protsessi ja pidevat testimist fuzzing tööriistad y staatilise koodi analüüs.
Lisaks hindab see perioodiliselt kriitilise tähtsusega avatud lähtekoodiga projektid ja paljastab kontrollide teabe (andmed) a kaudu BigQuery avalik andmekogum mida värskendatakse iga nädal. Ja neid andmeid saab kasutada ka sisestamise ajal automatiseeritud otsuste tegemise täiustamiseks. uued avatud lähtekoodiga sõltuvused projektide või organisatsioonide raames.
Seega võiksid organisatsioonid seda teha otsustada optimaalsemalt See suvaline uus sõltuvus koos madalad hinded peaks läbima a täiendav hindamine. Nii et need kontrollid võivad aidata leevendada pahatahtlike sõltuvuste kasutuselevõttu tootmissüsteemides.
Selle teabe laiendamiseks oma ametlik allikas (OpenSSF) saate uurida järgmist link.
Mida uut versioonis 2.0
see uus versioon 2.0 on varsti pärast seda vabastatud Google esitab ulatusliku raamistiku nimega "Tarkvara artefaktide tarneahelatasemed" (Tarkvara artefaktide tarneahela tasemed - SLSA) mis püüab tagada tarkvara artefaktide terviklikkuse ja vältida loata modifitseerimist nende arendamise ja juurutamise ajal.
Ja see sisaldab lühidalt ja üldiselt järgmist uus:
- Võimalike teadaolevate riskide kindlakstegemise paranemine.
- Tugevdatud pahatahtliku kaastöötajate tuvastamine, nõudes enne sidumist kolmanda osapoole koodi ülevaatamist.
- Haavatavate koodide tuvastamise täiustamine staatiliste koodide testide ja pideva summutamise abil.
- Parandada haavatavate sõltuvuste tuvastamist, et vähendada võimalikke turvariske ja võimaldada nende leevendamiseks kõige sobivamaid otsuseid.
Süveneda praegused täiustused või funktsioonid saate uurida järgmist link.
Kokkuvõte
Loodame seda "kasulik väike postitus" edasi «Security Scorecards», mis on projekti käivitanud Google ja Avatud lähtekoodiga turvalisuse fond, kes avaldas hiljuti a uus versioon 2.0 et tal on täiustatud testimine ja võimalused genereeritud andmete optimeerimiseks edasiseks analüüsiks; pakub suurt huvi ja kasulikkust tervikuna «Comunidad de Software Libre y Código Abierto» ja on suur panus Iraanide imelise, hiiglasliku ja kasvava ökosüsteemi levimisse «GNU/Linux».
Praegu, kui see teile meeldis publicación, Ära peatu jaga seda teistega oma lemmikveebisaitidel, kanalitel, suhtlusvõrgustike või sõnumsüsteemide rühmades või kogukondades, eelistatavalt tasuta, avatud ja / või turvalisem Telegramm, Signaali, Paksunahaline või mõni muu Fediverse, eelistatavalt.
Ja pidage meeles, et külastage meie kodulehte aadressil «DesdeLinux» uurida rohkem uudiseid ning liituda meie ametliku kanaliga Telegramm DesdeLinux. Kuigi lisateabe saamiseks võite külastada mis tahes Veebiraamatukogu kui OpenLibra y jedit, selle teema või teiste digitaalsete raamatute (PDF-ide) juurde pääsemiseks ja nende lugemiseks.