Biztonsági eredménymutatók: Mi ez, és mi új az új 2.0-s verziójában?
Néhány nappal ezelőtt a új verzió 2.0 nevű nyílt forráskódú projektből "Biztonsági eredményjelzők", amely egy projekt, amelyet 2020 novemberében indított el Google és Nyílt forráskódú biztonsági alapítvány (OpenSSF).
Ezért ebben a kiadványban egy kicsit elmélyülünk az említett projektben és annak új verzió 2.0, aminek most van Továbbfejlesztett tesztelés és képességek a további elemzés céljából generált adatok optimalizálása.
És mivel ez a projekt a OpenSSF, azonnal hagyjuk a linkünket előző kapcsolódó bejegyzés vele, hogy szükség esetén az Alapítványról többet megtudni kívánók könnyen hozzáférhessenek hozzá:
"A Linux Alapítvány bejelentette, hogy megalakítja az "OpenSSF" (Open Source Security Foundation) nevű projektet, amelynek fő célja, hogy összefogja az ipar vezetőinek munkáját a kódszoftverek biztonságának fejlesztése terén. Ezzel az OpenSSF továbbra is olyan kezdeményezéseket fog fejleszteni, mint az Infrastruktúra Kezdeményezés és a Nyílt Forrás Biztonsági Koalíció (Központi Infrastruktúra Kezdeményezés és Nyílt Forrás Biztonsági Koalíció), és összefogja a projekthez csatlakozó vállalatok által végzett egyéb biztonsággal kapcsolatos munkákat. .." OpenSSF: a nyílt forráskódú szoftverek biztonságának javítására összpontosító projekt
Biztonsági eredményjelzők: Biztonsági mutató kártyák
Mi az a biztonsági mutatószám?
Szerint a a Google Open Source hivatalos kiadványa, ezt a projektet a következőképpen írták le:
"A "Security Scorecards" az egyik első projekt, amelyet az OpenSSF keretrendszerében tettek közzé 2020 augusztusi megalakulása óta. A cél az, hogy önállóan létrehozzon egy "biztonsági pontszámot" a nyílt forráskódú projektekhez, hogy segítsen a felhasználóknak eldönteni a bizalmat, kockázatot és biztonsági helyzet a használati esetükben.
A Security Scorecards meghatároz egy kezdeti értékelési kritériumot, amelyet egy nyílt forráskódú projekt eredménymutatójának elkészítéséhez használnak teljesen automatizált módon. A pontszámlán minden ellenőrzés bevethető. A felhasznált értékelési mutatók egy része tartalmaz egy jól definiált biztonsági házirendet, egy kód felülvizsgálati folyamatot és folyamatos tesztelési lefedettséget fuzzing eszközökkel és statikus kód elemzéssel. Boole-értéket ad vissza, valamint minden egyes biztonsági ellenőrzésnél egy megbízhatósági pontszámot.
Idővel a Google javítja ezeket a mutatókat az OpenSSF-en keresztüli közösségi hozzájárulásokkal." Biztonsági mutatószámok nyílt forráskódú projektekhez
Hogyan működnek a Biztonsági Scorecards?
szerint OpenSSF, "Biztonsági eredményjelzők" a következőképpen működik:
Generálja a eredménymutató egy nyílt forráskódú projekthez teljesen automatizált módon. Bár jelenleg csak a kód működik GitHub szoftvertárak, bővítése más forráskód-tárakra még folyamatban van. Továbbá néhány értékelési mutatók a jól meghatározott biztonsági házirendet, a kód felülvizsgálati folyamatot és a fuzzó eszközök y statikus kódelemzés.
Ezenkívül időszakonként értékeli a kritikus nyílt forráskódú projektek és az a segítségével ellenőrzi az ellenőrzések adatait (adatait) BigQuery nyilvános adatkészlet amelyet hetente frissítenek. Ezeket az adatokat fel lehet használni az automatizált döntéshozatal bővítésére is, amikor beírják őket. új nyílt forráskódú függőségek projekteken vagy szervezeteken belül.
Így a szervezetek megtehették optimálisabban döntsön Bármilyen új függőség a alacsony pontszámok át kell mennie a további értékelés. Tehát ezek az ellenőrzések elősegíthetik a rosszindulatú függőségek mérséklését a termelési rendszereken.
Bővíteni ezeket az információkat a hivatalos forrás (OpenSSF) felfedezheti a következőket link.
A 2.0 verzió újdonságai
ezt új verzió 2.0 nem sokkal később megjelent Google elnevezésű átfogó keretet mutat be "Szoftvertermékek ellátási lánc szintjei" (Szoftvertermékek ellátási lánc szintjei - SLSA) amely a szoftvertermékek integritásának biztosítására és az illetéktelen módosítások megakadályozására törekszik fejlesztésük és megvalósításuk során.
És röviden, általános módon tartalmazza a következőket hír:
- Javulás a lehetséges ismert kockázatok azonosításában.
- Megerősített rosszindulatú közreműködők felderítése kötelező harmadik fél általi kódellenőrzéssel az elkövetés előtt.
- A sebezhető kód felderítésének tökéletesítése statikus kódtesztek és folyamatos fuzúzás révén.
- A sérülékeny függőségek azonosításának javítása a lehetséges biztonsági kockázatok mérséklése és az enyhítésükre legmegfelelőbb döntések meghozatala érdekében.
Hogy elmélyüljek a jelenlegi fejlesztések vagy funkciók felfedezheti a következőket link.
Összegzés
Reméljük ezt "hasznos kis bejegyzés" tovább «Security Scorecards», amely egy. projekt által elindított projekt Google és Nyílt Forrás Biztonsági Alapítvány, aki nemrégiben kiadta a új verzió 2.0 továbbfejlesztett ellenőrzésekkel és képességekkel rendelkezik a generált adatok későbbi elemzés céljából történő optimalizálására; nagy érdeklődés és hasznosság az egész számára «Comunidad de Software Libre y Código Abierto» és nagyban hozzájárulnak a CSB csodálatos, gigantikus és növekvő ökoszisztémájának elterjedéséhez «GNU/Linux».
Egyelőre, ha ez tetszett publicación, Ne hagyd abba ossza meg másokkal, kedvenc webhelyein, csatornáin, közösségi hálózatok vagy üzenetküldő rendszerek csoportjain vagy közösségén, lehetőleg ingyenesen, nyíltan és / vagy biztonságosabb módon Telegram, Jel, Masztodon vagy egy másik Fediverse, lehetőleg.
És ne felejtsen el ellátogatni a honlapunkra a címen «DesdeLinux» további hírek felfedezéséhez, valamint csatlakozáshoz a Távirata DesdeLinux. Míg további információkért látogasson el bármelyikre Online könyvtár mint OpenLibra y jEdit, hogy hozzáférhessen és olvashasson erről a témáról vagy másokról szóló digitális könyveket (PDF).