Sekirite Scorecards: Ki sa li se ak sa ki nouvo nan nouvo vèsyon li yo 2.0?

Sekirite Scorecards: Ki sa li se ak sa ki nouvo nan nouvo vèsyon li yo 2.0?

Sekirite Scorecards: Ki sa li se ak sa ki nouvo nan nouvo vèsyon li yo 2.0?

Kèk jou de sa a nouvo vèsyon 2.0 soti nan pwojè a sous louvri rele "Scorecards Sekirite Sosyal", ki se yon pwojè ki te lanse nan Novanm 2020 pa google ak Fondasyon Sekirite Louvri Sous (OpenSSF).

Pou rezon sa a, nan piblikasyon sa a nou pral fouye yon ti kras pi fon nan te di pwojè ak li yo nouvo vèsyon 2.0, ki kounye a genyen Amelyore tès ak kapasite optimize done yo pwodwi pou plis analiz.

OpenSSF

E depi pwojè sa a se an chaj nan la OpenSSF, nou pral imedyatman kite lyen ki nan nou an pòs anvan ki gen rapò avèk li, se konsa ke si sa nesesè, moun ki enterese nan aprann plis sou te di Fondasyon ka fasilman jwenn aksè nan li:

"Fondasyon Linux te anonse fòmasyon yon nouvo pwojè ki rele "OpenSSF" (Open Source Security Foundation) ki gen kòm objektif prensipal li pou mete ansanm travay lidè endistri yo nan domèn amelyorasyon sekirite lojisyèl kòd la. Avèk sa, OpenSSF ap kontinye devlope inisyativ tankou Inisyativ enfrastrikti ak kowalisyon Open Source Security (Inisyativ enfrastrikti santral ak kowalisyon Open Source Security) epi yo pral reyini lòt travay ki gen rapò ak sekirite ke konpayi yo te rantre nan pwojè a te pote soti. ..." OpenSSF: yon pwojè ki konsantre sou amelyore sekirite lojisyèl sous louvri

Atik ki gen rapò ak:
OpenSSF: yon pwojè ki konsantre sou amelyore sekirite lojisyèl sous louvri

Atik ki gen rapò ak:
Sigstore: Pwojè amelyore chèn ekipman pou sous louvri

Scorecards Sekirite: Kat Nòt Sekirite Sosyal

Scorecards Sekirite: Kat Nòt Sekirite Sosyal

Ki sa ki Scorecards Sekirite Sosyal?

Selon yon piblikasyon ofisyèl Google Open Sous, Pwojè sa a te dekri jan sa a:

""Scorecards Sekirite" se youn nan premye pwojè yo dwe pibliye nan kad OpenSSF la depi kòmansman li yo nan mwa Out 2020. Objektif la se pwòp tèt ou-jenere yon "nòt sekirite" pou pwojè sous louvri ede Itilizatè yo deside konfyans nan, risk, ak pwèstans sekirite pou ka itilize yo.

Sekirite Scorecards defini yon premye kritè evalyasyon ke yo pral itilize jenere yon scorecard pou yon pwojè sous louvri nan yon fason konplètman otomatize. Chak chèk sou skor a se aksyon. Gen kèk nan mezi evalyasyon yo itilize genyen ladan yo yon politik sekirite byen defini, yon pwosesis revizyon kòd, ak pwoteksyon tès kontinyèl ak zouti fuzzing ak analiz kòd estatik. Yon Boolean retounen kòm byen ke yon nòt konfyans pou chak chèk sekirite.

Apre yon tan, Google pral amelyore mesures sa yo ak kontribisyon kominote a nan OpenSSF." Scorecards sekirite pou pwojè sous louvri

Kouman sekirite Scorecards travay?

Dapre la OpenSSF"Scorecards Sekirite Sosyal" li travay jan sa a:

Jenere yon kat nòt pou yon pwojè sous louvri nan yon fason konplètman otomatize. Malgre ke, kounye a kòd la sèlman travay avèk yo GitHub lojisyèl repozitwa, ekspansyon li nan lòt depo kòd sous se nan tiyo an. Anplis de sa, kèk nan la mesures evalyasyon itilize gen ladan yon politik sekirite byen defini, yon pwosesis revizyon kòd, ak pwoteksyon tès kontinyèl ak zouti fuzzing y analiz kòd estatik.

Anplis de sa, li detanzantan evalye la kritik pwojè sous louvri epi ekspoze enfòmasyon (done) chèk yo atravè yon Done piblik BigQuery ki mete ajou chak semèn. Epi done sa yo ka itilize tou pou ogmante nenpòt desizyon kap pran lè yo antre. nouvo depandans sous louvri nan pwojè oswa òganizasyon.

Kidonk, òganizasyon yo te kapab deside plis parfètman Sa nenpòt ki nouvo depandans ak nòt ki ba ta dwe ale nan yon plis evalyasyon. Se konsa, chèk sa yo ta ka ede bese depandans move nan men yo te deplwaye sou sistèm pwodiksyon an.

Pou elaji enfòmasyon sa a nan men ou sous ofisyèl (OpenSSF) ou ka eksplore sa ki annapre yo lyen.

Ki sa ki nan nouvo nan vèsyon 2.0

Sa a nouvo vèsyon 2.0 te libere yon ti tan apre google ap prezante yon fondasyon konplè ki rele "Pwovizyon pou chenn chèn pou zafè lojisyèl" (Nivo Pwovizyon pou chèn pou zafè lojisyèl - SLSA) ki chache asire entegrite nan zafè lojisyèl ak anpeche modifikasyon san otorizasyon pandan devlopman yo ak aplikasyon yo.

Epi li yon ti tan gen ladan nan yon fason jeneral sa ki annapre yo nouvèl:

  1. Amelyorasyon nan idantifikasyon posib risk li te ye.
  2. Ranfòse deteksyon kontribitè move nan obligatwa twazyèm-pati revizyon kòd anvan komèt.
  3. Pèfeksyon deteksyon nan kòd vilnerab nan aplikasyon an nan tès kòd estatik ak kontinyèl fuzzing.
  4. Amelyorasyon nan idantifikasyon depandans vilnerab yo pou diminye risk sekirite posib epi pèmèt pran desizyon ki pi apwopriye pou diminye yo.

Pou fouye nan detay yo nan la amelyorasyon aktyèl oswa fonksyonalite ou ka eksplore sa ki annapre yo lyen.

Rezime: Piblikasyon divès kalite

Rezime

Nou espere sa "itil ti pòs" sou «Security Scorecards», ki se yon Pwojè lanse pa google ak Louvri Sous Sekirite Fondasyon, ki moun ki fèk lage yon nouvo vèsyon 2.0 ke li te amelyore tès ak kapasite yo optimize pwodwi done pou plis analiz; se nan gwo enterè ak sèvis piblik, pou tout la «Comunidad de Software Libre y Código Abierto» ak nan gwo kontribisyon nan difizyon nan ekosistèm nan bèl bagay, gwo konstriksyon ak ap grandi nan aplikasyon pou «GNU/Linux».

Pou kounye a, si ou te renmen sa a publicación, Pa sispann pataje li ak lòt moun, sou sit entènèt ou pi renmen, chanèl, gwoup oswa kominote nan rezo sosyal oswa sistèm messagerie, de preferans gratis, ouvè ak / oswa plis sekirite kòm TelegramFè siyalMastodon oswa yon lòt nan Fediverse, de preferans.

Epi sonje vizite paj lakay nou nan «Soti nan Linux» yo eksplore plis nouvèl, menm jan tou rantre nan chanèl ofisyèl nou an nan Telegram ki soti nan FromLinuxPandan ke, pou plis enfòmasyon, ou ka vizite nenpòt ki Bibliyotèk sou entènèt kòm OpenLibra y JedIT, jwenn aksè ak li liv dijital (PDFs) sou sijè sa a oswa lòt moun.


Kontni an nan atik la respekte prensip nou yo nan etik editoryal. Pou rapòte yon erè klike sou isit la.

Se pou premye a fè kòmantè

Kite kòmantè ou

Adrès imèl ou pa pral dwe pibliye. Jaden obligatwa yo make ak *

*

*

  1. Responsab pou done yo: Miguel Ángel Gatón
  2. Objektif done yo: Kontwòl SPAM, jesyon kòmantè.
  3. Lejitimasyon: konsantman ou
  4. Kominikasyon nan done yo: done yo pa pral kominike bay twazyèm pati eksepte pa obligasyon legal.
  5. Done depo: baz done anime pa rezo Occentus (Inyon Ewopeyen)
  6. Dwa: Nenpòt ki lè ou ka limite, refè ak efase enfòmasyon ou yo.