Security Scorecards: que é e novidades na súa nova versión 2.0?

Instalación de Linux Post | | aplicacións, Novas

Non hai comentarios

Security Scorecards: que é e novidades na súa nova versión 2.0?

Security Scorecards: que é e novidades na súa nova versión 2.0?

Hai uns días a nova versión 2.0 do proxecto de código aberto chamado "Tarxetas de seguridade", que é un proxecto que foi lanzado en novembro de 2020 por Google e Open Source Security Foundation (OpenSSF).

Por este motivo, nesta publicación afondaremos un pouco máis no devandito proxecto e no seu nova versión 2.0, que agora ten Probas e capacidades melloradas para optimizar os datos xerados para a súa posterior análise.

OpenSSF

E xa que este proxecto está a cargo do OpenSSF, deixaremos inmediatamente a ligazón do noso publicación relacionada anterior con el, para que se é necesario, os interesados ​​en coñecer máis sobre a devandita Fundación poidan acceder facilmente a ela:

"A Fundación Linux anunciou a formación dun novo proxecto chamado "OpenSSF" (Open Source Security Foundation) que ten como principal obxectivo reunir o traballo dos líderes da industria no campo da mellora da seguridade do software de código. Con isto, OpenSSF continuará desenvolvendo iniciativas como a Infrastructure Initiative e a Open Source Security Coalition (Central Infrastructure Initiative e Open Source Security Coalition) e reunirá outros traballos relacionados coa seguridade que están a levar a cabo as empresas que se adheriron ao proxecto. ..." OpenSSF: un proxecto centrado en mellorar a seguridade do software de código aberto

OpenSSF
Artigo relacionado:
OpenSSF: un proxecto centrado en mellorar a seguridade do software de código aberto

 Sigstore: proxecto para mellorar a cadea de subministración de código aberto
Artigo relacionado:
Sigstore: proxecto para mellorar a cadea de subministración de código aberto

Cadros de puntuación de seguridade: tarxetas de puntuación de seguridade

Cadros de puntuación de seguridade: tarxetas de puntuación de seguridade

Que son os Cadros de Mando de Seguridade?

Segundo a publicación oficial de Google Open Source, este proxecto describiuse do seguinte xeito:

""Security Scorecards" é un dos primeiros proxectos publicados dentro do marco de OpenSSF desde a súa creación en agosto de 2020. O obxectivo é xerar de xeito propio unha "puntuación de seguridade" para proxectos de código aberto para axudar aos usuarios a decidir a confianza, o risco e postura de seguridade para o seu caso de uso.

Security Scorecards define un criterio de avaliación inicial que se usará para xerar un cadro de puntuación para un proxecto de código aberto dun xeito totalmente automatizado. Todas as comprobacións do cadro de mando poden realizarse. Algunhas das métricas de avaliación empregadas inclúen unha política de seguridade ben definida, un proceso de revisión de código e cobertura de probas en curso con ferramentas de difusión e análise de código estático. Devólvese un booleano e unha puntuación de confianza para cada verificación de seguridade.

Co tempo, Google mellorará estas métricas coas contribucións da comunidade a través de OpenSSF." Cadros de mando de seguridade para proxectos de código aberto

Como funcionan os Security Scorecards?

Conforme OpenSSF"Tarxetas de seguridade" funciona do seguinte xeito:

Xerar un tarxeta de puntuación para un proxecto de código aberto dun xeito totalmente automatizado. Aínda que, actualmente o código só funciona con Repositorios de software GitHub, a súa expansión a outros repositorios de código fonte está en proceso. Ademais, algúns dos métricas de avaliación empregados inclúen unha política de seguridade ben definida, un proceso de revisión de código e unha cobertura de probas continua con ferramentas fuzzing y análise de código estático.

Ademais, avalía periodicamente o proxectos críticos de código aberto e expón a información (datos) dos cheques a través dun Conxunto de datos público de BigQuery que se actualiza semanalmente. E estes datos tamén se poden empregar para aumentar a toma de decisións automatizadas cando se introducen. novas dependencias de código aberto dentro de proxectos ou organizacións.

Así, as organizacións poderían decidir de xeito máis óptimo Que calquera nova dependencia con puntuacións baixas debería pasar por un avaliación adicional. Polo tanto, estas comprobacións poderían axudar a mitigar as dependencias malintencionadas que se instalan nos sistemas de produción.

Para ampliar esta información desde o seu fonte oficial (OpenSSF) podes explorar o seguinte ligazón.

Novidades na versión 2.0

Este nova versión 2.0 foi liberado pouco despois Google presentará un marco integral chamado "Niveles da cadea de subministración para artefactos de software" (Niveis da cadea de subministración para artefactos de software - SLSA) que busca garantir a integridade dos artefactos do software e evitar modificacións non autorizadas durante o seu desenvolvemento e implementación.

E inclúe brevemente de xeito xeral o seguinte noticias:

  1. Mellora na identificación de posibles riscos coñecidos.
  2. Reforzouse a detección de colaboradores maliciosos ao requirir unha revisión de código de terceiros antes de cometer.
  3. Perfeccionando a detección de código vulnerable mediante a implementación de probas de código estático e fuzzing continuo.
  4. Mellora na identificación de dependencias vulnerables para mitigar posibles riscos de seguridade e permitir tomar as decisións máis axeitadas para a súa mitigación.

Para afondar nos detalles do melloras ou funcionalidades actuais podes explorar o seguinte ligazón.

Resumo: varias publicacións

Resumo

Agardamos isto "pequena publicación útil" en «Security Scorecards», que é un proxecto lanzado por Google e Fundación de seguridade de código aberto, que lanzou recentemente un nova versión 2.0 que mellorou as probas e as capacidades para optimizar os datos xerados para unha posterior análise; é de gran interese e utilidade para o conxunto «Comunidad de Software Libre y Código Abierto» e de gran contribución á difusión do marabilloso, xigantesco e crecente ecosistema de aplicacións de «GNU/Linux».

De momento, se che gustou isto publicación, Non parar compartilo con outros, nos teus sitios web, canles, grupos ou comunidades de redes sociais ou sistemas de mensaxería favoritos, preferentemente gratuítos, abertos e / ou máis seguros como TelegramaSinalizarMastodon ou outro de Fediverse, preferentemente.

E recorda visitar a nosa páxina de inicio en «Desde Linux» para explorar máis novas, así como unirse á nosa canle oficial de Telegrama de DesdeLinuxMentres, para obter máis información, podes visitar calquera Biblioteca en liña como OpenLibra y jedit, para acceder e ler libros dixitais (PDF) sobre este tema ou outros.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.