Security Scorecards : qu'est-ce que c'est et quoi de neuf dans sa nouvelle version 2.0 ?
Il y a quelques jours un nouvelle version 2.0 du projet open source appelé « Cartes de pointage de sécurité », qui est un projet lancé en novembre 2020 par Google et la Fondation de sécurité Open Source (OpenSSF).
Pour cette raison, dans cette publication, nous approfondirons un peu plus ce projet et ses nouvelle version 2.0, qui a maintenant Tests et capacités améliorés optimiser les données générées pour une analyse plus approfondie.
Et depuis, ce projet est en charge de la OuvertSSF, nous laisserons immédiatement le lien de notre post connexe précédent avec elle, afin qu'en cas de besoin, les personnes intéressées à en savoir plus sur ladite Fondation puissent y accéder facilement :
"La Linux Foundation a annoncé la formation d'un nouveau projet appelé "OpenSSF" (Open Source Security Foundation) qui a pour objectif principal de rassembler les travaux des leaders de l'industrie dans le domaine de l'amélioration de la sécurité des logiciels de code open. Avec cela, OpenSSF continuera à développer des initiatives telles que l'Initiative Infrastructure et l'Open Source Security Coalition (Central Infrastructure Initiative et l'Open Source Security Coalition) et rassemblera d'autres travaux liés à la sécurité menés par les entreprises qui ont rejoint le projet. . . . » OpenSSF: un projet axé sur l'amélioration de la sécurité des logiciels open source
Fiches d'évaluation de la sécurité : fiches d'évaluation de la sécurité
Qu'est-ce que les cartes de pointage de sécurité ?
Selon un publication officielle de Google Open Source, ce projet a été décrit comme suit :
""Security Scorecards" est l'un des premiers projets à être publié dans le cadre OpenSSF depuis sa création en août 2020. L'objectif est d'auto-générer un "score de sécurité" pour les projets open source afin d'aider les utilisateurs à décider de la confiance, du risque et posture de sécurité pour leur cas d'utilisation.
Security Scorecards définit un critère d'évaluation initial qui sera utilisé pour générer un scorecard pour un projet open source de manière entièrement automatisée. Chaque contrôle sur la carte de pointage est exploitable. Certaines des métriques d'évaluation utilisées incluent une politique de sécurité bien définie, un processus de revue de code et une couverture de test continue avec des outils d'analyse de code statique et de fuzzing. Un booléen est renvoyé ainsi qu'un score de confiance pour chaque contrôle de sécurité.
Au fil du temps, Google améliorera ces métriques grâce aux contributions de la communauté via OpenSSF. » Tableaux de bord de sécurité pour les projets open source
Comment fonctionnent les fiches d'évaluation de la sécurité ?
Selon OuvertSSF, « Cartes de pointage de sécurité » ça marche comme suit :
Générer un fiche d'évaluation pour un projet open source de manière entièrement automatisée. Bien que, actuellement, le code ne fonctionne qu'avec Dépôts de logiciels GitHub, son extension à d'autres référentiels de code source est en cours. De plus, certains des mesures d'évaluation utilisé comprennent une politique de sécurité bien définie, un processus de révision de code et une couverture de test continue avec outils de floutage y analyse de code statique.
De plus, il évalue périodiquement la projets open source critiques et expose les informations (données) des contrôles à travers un Ensemble de données public BigQuery qui est mis à jour chaque semaine. Et ces données peuvent également être utilisées pour augmenter toute prise de décision automatisée lors de leur saisie. nouvelles dépendances open source au sein de projets ou d'organisations.
Ainsi, les organisations pourraient décider de manière plus optimale Que tout nouvelle dépendance avec notes faibles devrait passer par un évaluation supplémentaire. Ces vérifications pourraient donc aider à atténuer les dépendances malveillantes du déploiement sur les systèmes de production.
Pour étendre ces informations à partir de votre source officielle (OpenSSF) vous pouvez explorer ce qui suit lien.
Quoi de neuf dans la version 2.0
Cette nouvelle version 2.0 a été libéré peu de temps après Google présentera un cadre global appelé « Niveaux de la chaîne d'approvisionnement pour les artefacts logiciels » (Niveaux de la chaîne d'approvisionnement pour les artefacts logiciels - SLSA) qui vise à garantir l'intégrité des artefacts logiciels et à empêcher les modifications non autorisées au cours de leur développement et de leur mise en œuvre.
Et il comprend brièvement d'une manière générale ce qui suit arrivages continues. :
- Amélioration de l'identification des éventuels risques connus.
- Renforcement de la détection des contributeurs malveillants en exigeant un examen du code tiers avant la validation.
- Perfectionner la détection de code vulnérable par la mise en place de tests de code statiques et de fuzzing continu.
- Amélioration de l'identification des dépendances vulnérables pour atténuer les risques de sécurité possibles et permettre de prendre les décisions les plus appropriées pour leur atténuation.
Pour approfondir les détails de la améliorations ou fonctionnalités actuelles vous pouvez explorer ce qui suit lien.
Résumé
Nous espérons que "petit message utile » sur «Security Scorecards», qui est un projet lancé par Google et la Fondation de sécurité open source, qui a récemment publié un nouvelle version 2.0 qu'il a des tests et des capacités améliorés pour optimiser les données générées pour une analyse plus approfondie ; est d'un grand intérêt et d'une grande utilité, pour l'ensemble «Comunidad de Software Libre y Código Abierto» et d'une grande contribution à la diffusion de l'écosystème merveilleux, gigantesque et croissant d'applications de «GNU/Linux».
Pour l'instant, si vous avez aimé ça publicación, Ne vous arrêtez pas partager avec d'autres, sur vos sites Web, canaux, groupes ou communautés de réseaux sociaux ou systèmes de messagerie préférés, de préférence gratuits, ouverts et / ou plus sécurisés que Telegram, Signal, Mastodonte ou un autre de Fediverse, de préférence.
Et n'oubliez pas de visiter notre page d'accueil à «DesdeLinux» pour explorer plus d'actualités et rejoindre notre chaîne officielle de Télégramme de DesdeLinux. Alors que, pour plus d'informations, vous pouvez visiter n'importe quel Bibliothèque en ligne comme OpenBalance y Jedit, pour accéder et lire des livres numériques (PDF) sur ce sujet ou d'autres.