Sigurnosne ocjene: Što je to i što je novo u novoj verziji 2.0?
Prije nekoliko dana a nova verzija 2.0 iz projekta otvorenog koda nazvanog "Sigurnosne ocjene", što je projekt koji je pokrenuo u studenom 2020 Google i Open Source Security Foundation (OpenSSF).
Iz tog razloga ćemo se u ovoj publikaciji malo dublje pozabaviti spomenutim projektom i njegovim projektima nova verzija 2.0, koja sada ima Poboljšano testiranje i mogućnosti za optimizaciju podataka generiranih za daljnju analizu.
A budući da je ovaj projekt zadužen za OpenSSF, odmah ćemo napustiti vezu našeg prethodni povezani post s njom, tako da ako je potrebno, oni koji žele saznati više o spomenutoj Zakladi mogu joj lako pristupiti:
"Zaklada Linux najavila je osnivanje novog projekta pod nazivom "OpenSSF" (Open Source Security Foundation) čiji je glavni cilj okupiti rad vodećih u industriji na polju poboljšanja sigurnosti softvera koda. Ovim će OpenSSF nastaviti razvijati inicijative poput Infrastrukturne inicijative i Sigurnosne koalicije otvorenog koda (Centralna infrastrukturna inicijativa i Sigurnosna koalicija otvorenog koda) te će okupiti ostale poslove povezane sa sigurnošću koje provode tvrtke koje su se pridružile projektu ..." OpenSSF: projekt usmjeren na poboljšanje sigurnosti softvera otvorenog koda
Sigurnosne ocjene: Sigurnosne ocjene
Što su sigurnosne ocjene?
Prema a službena publikacija Google Open Source, ovaj projekt je opisan na sljedeći način:
""Sigurnosne ocjene" jedan je od prvih projekata koji je objavljen u okviru OpenSSF-a od njegovog osnutka u kolovozu 2020. Cilj je samostalno generirati "sigurnosnu ocjenu" za projekte otvorenog koda kako bi se korisnicima pomoglo da odluče o povjerenju, riziku i sigurnosno držanje za njihov slučaj upotrebe.
Sigurnosne ocjene definiraju početne kriterije procjene koji će se koristiti za generiranje tablice rezultata za projekt otvorenog koda na potpuno automatiziran način. Svaka provjera na tablici rezultata može se izvršiti. Neke od korištenih mjernih podataka uključuju dobro definiranu sigurnosnu politiku, postupak pregleda koda i pokrivenost stalnim testiranjem pomoću statičke analize koda i nejasnih alata. Vraća se logička vrijednost kao i ocjena pouzdanosti za svaku sigurnosnu provjeru.
S vremenom će Google poboljšati ove mjerne podatke doprinosima zajednice putem OpenSSF-a." Sigurnosne tablice rezultata za projekte otvorenog koda
Kako funkcioniraju sigurnosne ocjene?
po OpenSSF, "Sigurnosne ocjene" radi na sljedeći način:
Stvori a kartica rezultata za projekt otvorenog koda na potpuno automatiziran način. Iako trenutno kod radi samo s GitHub softverska spremišta, planira se njegovo širenje na druga spremišta izvornog koda. Nadalje, neki od metrika procjene koji se koriste uključuju dobro definiranu sigurnosnu politiku, postupak pregleda koda i kontinuirano pokrivanje testiranjem s rasplinjavanje alata y statička analiza koda.
Osim toga, povremeno ocjenjuje kritični projekti otvorenog koda i izlaže informacije (podatke) provjera putem a BigQuery javni skup podataka koja se ažurira tjedno. A ti se podaci također mogu upotrijebiti za povećanje automatskog donošenja odluka kada se unesu. nove ovisnosti otvorenog koda unutar projekata ili organizacija.
Dakle, organizacije su mogle odlučiti optimalnije Da bilo koji nova ovisnost s niske ocjene treba proći kroz dodatna evaluacija. Tako bi ove provjere mogle pomoći ublažiti zlonamjerne ovisnosti od postavljanja na proizvodne sustave.
Da biste proširili ove podatke s vašeg službeni izvor (OpenSSF) možete istražiti sljedeće link.
Što je novo u verziji 2.0
ovo nova verzija 2.0 je pušten ubrzo nakon Google predstavit će sveobuhvatan okvir tzv "Razine opskrbnog lanca za softverske artefakte" (Razine opskrbnog lanca za softverske artefakte - SLSA) kojim se želi osigurati cjelovitost softverskih artefakata i spriječiti neovlaštene izmjene tijekom njihovog razvoja i implementacije.
I ukratko na opći način uključuje sljedeće novi:
- Poboljšanje u prepoznavanju mogućih poznatih rizika.
- Pojačano otkrivanje zlonamjernih suradnika zahtijevajući pregled koda treće strane prije urezivanja.
- Usavršavanje otkrivanja ranjivog koda primjenom statičkih testova koda i kontinuiranim fuzzingom.
- Poboljšanje u identificiranju ranjivih ovisnosti radi ublažavanja mogućih sigurnosnih rizika i omogućavanja donošenja najprikladnijih odluka za njihovo ublažavanje.
Da bih se pozabavio detaljima trenutna poboljšanja ili funkcionalnosti možete istražiti sljedeće link.
Rezime
Nadamo se ovome "koristan mali post" na «Security Scorecards», što je projekt koji je pokrenuo Google i Zaklada za sigurnost otvorenog koda, koji je nedavno objavio a nova verzija 2.0 da ima poboljšana ispitivanja i mogućnosti optimizacije generiranih podataka za daljnju analizu; je od velikog interesa i korisnosti, u cjelini «Comunidad de Software Libre y Código Abierto» i od velikog doprinosa širenju divnog, gigantskog i rastućeg ekosustava aplikacija «GNU/Linux».
Za sada, ako vam se ovo svidjelo publicación, Nemoj stati podijeli s drugima na vašim omiljenim web mjestima, kanalima, skupinama ili zajednicama društvenih mreža ili sustava za razmjenu poruka, po mogućnosti besplatno, otvoreno i / ili sigurnije kao Telegram, Signal, Mastodont ili neki drugi od Fediverse, po mogućnosti.
I ne zaboravite posjetiti našu početnu stranicu na «DesdeLinux» istražiti još vijesti, kao i pridružiti se našem službenom kanalu Telegram od DesdeLinux. Iako, za više informacija, možete posjetiti bilo koji Internetska knjižnica kao OpenLibra y jedit, za pristup i čitanje digitalnih knjiga (PDF-ova) o ovoj temi ili drugima.