Security Scorecards: Zer da eta zer berri dago 2.0 bertsio berrian?

Security Scorecards: Zer da eta zer berri dago 2.0 bertsio berrian?

Security Scorecards: Zer da eta zer berri dago 2.0 bertsio berrian?

Duela egun batzuk a bertsio berria 2.0 izeneko open source proiektuan "Segurtasun-agiriak", hau da, 2020ko azaroan abian jarritako proiektua Google eta Open Source Security Foundation (OpenSSF).

Zergatik, argitalpen honetan apur bat sakonduko dugu aipatutako proiektuaren eta haren inguruan 2.0 bertsio berria, hori du orain Probak eta gaitasun hobetuak sortutako datuak optimizatzeko gehiago aztertzeko.

OpenSSF

Proiektu honen arduraduna denez OpenSSF, berehala utziko dugu gure esteka aurreko erlazionatutako mezua berarekin, behar izanez gero, aipatutako Fundazioari buruz gehiago jakin nahi dutenek erraz atzitu ahal izateko:

"Linux Fundazioak "OpenSSF" (Open Source Security Foundation) izeneko proiektu berria sortuko duela iragarri du, eta helburu nagusia du kode softwareen segurtasun hobekuntzaren alorrean industriako liderrek egindako lana biltzea. Honekin, OpenSSF-k azpiegitura Initiative eta Open Source Security Coalition bezalako ekimenak garatzen jarraituko du (Central Infrastructure Initiative eta Open Source Security Coalition) eta proiektuarekin bat egin duten enpresek egiten ari diren segurtasunarekin lotutako beste lan batzuk bilduko ditu. ." OpenSSF: kode irekiko softwarearen segurtasuna hobetzera bideratutako proiektua

Lotutako artikulua:
OpenSSF: kode irekiko softwarearen segurtasuna hobetzera bideratutako proiektua

Lotutako artikulua:
Sigstore: kode irekiko hornikuntza katea hobetzeko proiektua

Segurtasun puntuazio txartelak: segurtasun puntuazio txartelak

Segurtasun puntuazio txartelak: segurtasun puntuazio txartelak

Zer da segurtasun puntuazio txartelak?

Baten arabera Google Open Source argitalpen ofiziala, proiektu hau honela deskribatu zen:

""Security Scorecards" OpenSSF esparruan argitaratutako lehen proiektuetako bat da 2020ko abuztuan sortu zenetik. Helburua iturri irekiko proiektuetarako "segurtasun puntuazioa" auto-sortzea da, erabiltzaileek konfiantza, arriskua eta erabilera kasurako segurtasun jarrera.

Security Scorecards-ek iturri irekiko proiektu baten puntuazio-txartela modu guztiz automatikoan sortzeko erabiliko den hasierako ebaluazio irizpideak definitzen ditu. Aginte-taulako egiaztapen guztiak egitekoak dira. Erabilitako ebaluazio-metrika batzuen artean ondo zehaztutako segurtasun politika, kodea berrikusteko prozesua eta etengabeko proben estaldura daude lauso tresnekin eta kode estatikoen analisiarekin. Boolear bat itzultzen da, baita segurtasun kontrol bakoitzerako konfiantza puntuazioa ere.

Denborarekin, Google-k metrika horiek hobetuko ditu komunitatearen ekarpenekin OpenSSF bidez." Kode irekiko proiektuetarako segurtasun aginte txartelak

Nola funtzionatzen du segurtasun puntuazio txartelak?

Arabera OpenSSF"Segurtasun-agiriak" honela funtzionatzen du:

Sortu a puntuazio txartela kode irekiko proiektu baterako modu automatizatuan. Nahiz eta, gaur egun, kodeak soilik funtzionatzen du GitHub software biltegiak, beste iturburu-kodeen biltegietara hedatzea kanalizazioan dago. Gainera, zenbait ebaluazio metrikak erabiltzen direnak ondo zehaztutako segurtasun politika, kodea berrikusteko prozesua eta etengabeko probekin estaltzen dira lausotzeko tresnak y kode estatikoen analisia.

Horrez gain, aldizka ebaluatzen du kode irekiko proiektu kritikoak eta egiaztapenen informazioa (datuak) agerian uzten du BigQuery datu-base publikoa astero eguneratzen dena. Eta datu horiek, gainera, sartutakoan erabaki automatikoak hartzeko aukera handitzeko erabil daitezke. kode irekiko mendekotasun berriak proiektu edo erakundeen barruan.

Horrela, erakundeek ahal zuten erabaki modu egokiagoan Hori edozein mendekotasun berria duten puntuazio baxuak bidez joan beharko litzateke ebaluazio osagarria. Beraz, egiaztapen horiek lagungarri izan litezke produkzio sistemetan hedatzen diren mendekotasun maltzurrak arintzen.

Informazio hau zure webgunetik zabaltzeko iturri ofiziala (OpenSSF) honako hau azter dezakezu link.

2.0 bertsioan berritasunak

Hau bertsio berria 2.0 askatu egin da handik gutxira Google izeneko esparru integrala aurkeztuko du "Softwarearen artefaktuen hornidura-katearen mailak" (Software artefaktuetarako hornikuntza-katearen mailak - SLSA) softwarearen artefaktuen osotasuna bermatu eta baimenik gabeko aldaketak ekidin nahi dituen garapen eta inplementazioan.

Eta laburki modu orokorrean honako hau biltzen du berriaren:

  1. Ezagutzen diren arrisku posibleak identifikatzeko hobekuntza.
  2. Laguntzaile gaiztoen detekzioa indartu, hirugarrenen kodea berrikusi behar baita konpromisoa hartu aurretik.
  3. Kode zaurgarriaren detekzioa hobetzea, kode estatikoen probak eta etengabeko lausoak ezarriz.
  4. Mendekotasun zaurgarrien identifikazioan hobekuntza, segurtasun arrisku posibleak arintzeko eta horiek arintzeko erabakirik egokienak hartzeko.

Fitxategiaren xehetasunetan sakontzeko uneko hobekuntzak edo funtzionalitateak honako hau azter dezakezu link.

Laburpena: Hainbat argitalpen

Laburpena

Hau espero dugu "mezu txiki erabilgarria" on «Security Scorecards», hau da, abian jarritako proiektua Google eta Open Source Security Foundation, duela gutxi kaleratu duena bertsio berria 2.0 sortutako datuak optimizatzeko egiaztapenak eta gaitasunak hobetu dituela gero aztertzeko; interes eta erabilgarritasun handia du, osorako «Comunidad de Software Libre y Código Abierto» eta ekarpen handia duten aplikazioen ekosistema zoragarri, erraldoi eta hazkundea hedatzen «GNU/Linux».

Oraingoz, hau gustatu bazaizu publicación, Ez gelditu partekatu beste batzuekin, zure webgune, kanal, talde edo sare sozialetako edo mezularitza sistemetako komunitate gogokoetan, ahal dela doakoak, irekiak eta / edo seguruagoak diren moduan TelegramaSeinaleaMastodon edo beste Fediverse, hobe.

Eta gogoratu gure orri nagusian bisitatzea «Linux-etik» albiste gehiago aztertzeko, baita gure kanal ofizialean sartzeko ere DesdeLinux-en telegramaInformazio gehiago nahi izanez gero, edozein bisita dezakezu Lineako liburutegia bezala OpenLibra y jedit, gai honi edo beste batzuei buruzko liburu digitalak (PDFak) sartzeko eta irakurtzeko.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.