Tietoturvatuloskortit: Mikä se on ja mikä on uutta uudessa versiossa 2.0?
Muutama päivä sitten a uusi versio 2.0 nimeltään avoimen lähdekoodin projektista "Turvallisuuden tuloskortit", joka on projekti, joka aloitettiin marraskuussa 2020 mennessä Google ja Open Source Security Foundation (OpenSSF).
Tästä syystä tässä julkaisussa kaivetaan hieman syvemmälle mainittuun projektiin ja sen uusi versio 2.0, että nyt on Parannettu testaus ja ominaisuudet tuotettujen tietojen optimoimiseksi jatkoanalyysiä varten.
Ja koska tämä projekti on vastuussa OpenSSF, jätämme heti linkkimme edellinen aiheeseen liittyvä viesti sen kanssa, jotta tarvittaessa säätiön lisätietoa kiinnostavat voivat käyttää sitä helposti:
"On ilmoittanut perustavansa uuden projektin nimeltä "OpenSSF" (Open Source Security Foundation), jonka päätavoitteena on koota alan johtajien työ koodiohjelmistojen tietoturvan parantamisen alalla. Tämän myötä OpenSSF jatkaa sellaisten aloitteiden kehittämistä kuin Infrastructure Initiative ja Open Source Security Coalition (Central Infrastructure Initiative and Open Source Security Coalition) ja kokoaa yhteen muut projektiin liittyneiden yritysten tekemät turvallisuuteen liittyvät työt ." OpenSSF: projekti, joka keskittyi avoimen lähdekoodin ohjelmistojen turvallisuuden parantamiseen
Turvallisuustuloskortit: Turvakortit
Mikä on suojauksen tuloskortit?
Mukaan a virallinen Google Open Source -julkaisu, tämä projekti kuvattiin seuraavasti:
""Turvallisuustuloskortit" on yksi ensimmäisistä OpenSSF-kehyksessä julkaistuista hankkeista sen perustamisen jälkeen elokuussa 2020. Tavoitteena on luoda itse "suojauspisteet" avoimen lähdekoodin projekteille, jotta käyttäjät voivat päättää luottamuksesta, riskistä ja turvallisuusasento heidän käyttötapauksessaan.
Suojaustuloskortit määrittelevät alustavat arviointikriteerit, joita käytetään tuloskortin luomiseen avoimen lähdekoodin projektille täysin automatisoidulla tavalla. Jokainen tuloskortin tarkistus on toimintakelpoinen. Osa käytetyistä arviointimittareista sisältää tarkkaan määritellyn tietoturvakäytännön, koodin tarkistusprosessin ja jatkuvan testauksen kattavuuden fuzzing-työkaluilla ja staattisen koodianalyysin avulla. Totuusarvo palautetaan sekä luottamuspisteet jokaisesta turvatarkastuksesta.
Ajan myötä Google parantaa näitä tietoja yhteisöpanoksilla OpenSSF: n kautta." Suorituskykykortit avoimen lähdekoodin projekteille
Kuinka tietoturvatuloskortit toimivat?
Segun la OpenSSF, "Turvallisuuden tuloskortit" se toimii seuraavasti:
Luo a tuloskortti avoimen lähdekoodin projektille täysin automatisoidusti. Vaikka koodi toimii tällä hetkellä vain GitHub-ohjelmistovarastot, sen laajentaminen muihin lähdekoodivarastoihin on valmisteilla. Lisäksi jotkut arviointitiedot käytettyihin tuotteisiin kuuluu tarkoin määritelty tietoturvakäytäntö, koodin tarkistusprosessi ja jatkuvan testauksen kattavuus fuzzing-työkalut y staattisen koodin analyysi.
Lisäksi se arvioi säännöllisesti kriittiset avoimen lähdekoodin projektit ja paljastaa tarkastusten tiedot (tiedot) a BigQueryn julkinen tietojoukko joka päivitetään viikoittain. Ja näitä tietoja voidaan käyttää myös automaattisen päätöksenteon tehostamiseen syötettäessä. uudet avoimen lähdekoodin riippuvuudet hankkeiden tai organisaatioiden sisällä.
Siten organisaatiot voisivat päättää optimaalisesti Se mikä tahansa uusi riippuvuus kanssa matalat pisteet pitäisi käydä läpi a lisäarviointi. Joten nämä tarkastukset voivat auttaa vähentämään haitallisten riippuvuuksien käyttöönottoa tuotantojärjestelmissä.
Laajenna nämä tiedot omasta virallinen lähde (OpenSSF) voit tutkia seuraavia linkki.
Uutta versiossa 2.0
tämä uusi versio 2.0 on julkaistu pian sen jälkeen Google esittelee kattavan kehyksen nimeltä "Ohjelmistoaineistojen toimitusketjun tasot" (Toimitusketjutasot ohjelmistoarkistoille - SLSA) jolla pyritään varmistamaan ohjelmisto-esineiden eheys ja estämään luvattomat muutokset niiden kehittämisen ja toteuttamisen aikana.
Ja se sisältää lyhyesti seuraavat yleensä uutiset:
- Parannetaan mahdollisten tunnettujen riskien tunnistamista.
- Vahvistettu haitallisten tekijöiden havaitseminen pakollisella kolmannen osapuolen koodin tarkistuksella ennen sitoutumista.
- Haavoittuvan koodin havaitsemisen parantaminen staattisten koodien testien ja jatkuvan sulamisen avulla.
- Parannetaan haavoittuvien riippuvuuksien tunnistamista mahdollisten turvallisuusriskien lieventämiseksi ja sopivimpien päätösten tekemiseksi niiden lieventämiseksi.
Kaivaa yksityiskohtiin nykyiset parannukset tai toiminnot voit tutkia seuraavia linkki.
Yhteenveto
Toivomme tämän "hyödyllinen pieni viesti" päälle «Security Scorecards», joka on Google ja Open Source Security Foundation, joka julkaisi äskettäin a uusi versio 2.0 että sillä on parannettu testaus ja valmiudet optimoida luotu data jatkoanalyysiä varten; on suurta kiinnostusta ja hyötyä koko «Comunidad de Software Libre y Código Abierto» ja suurella panoksella Nizzan suurenmoisen, jättimäisen ja kasvavan ekosysteemin levittämiseen «GNU/Linux».
Toistaiseksi, jos pidit tästä publicación, Älä lopeta jaa se muiden kanssa suosikkisivustoillasi, kanavillasi, sosiaalisten verkostojen tai viestijärjestelmien ryhmissä tai yhteisöissä, mieluiten ilmaisina, avoimina ja / tai turvallisempina Telegram, signaali, Mastodontti tai jokin muu Fediverse, mieluiten.
Ja muista käydä kotisivullamme osoitteessa «DesdeLinux» tutkia lisää uutisia sekä liittyä viralliseen kanavallemme Sähke lähettäjältä DesdeLinux. Vaikka saat lisätietoja käymällä missä tahansa Verkkokirjasto kuten OpenLibra y jedit, käyttää ja lukea digitaalisia kirjoja (PDF) tästä aiheesta tai muusta.