כרטיסי ניקוי אבטחה: מה זה ומה חדש בגרסה החדשה 2.0 שלה?
לפני כמה ימים א גרסה חדשה 2.0 מפרויקט הקוד הפתוח שנקרא "כרטיס ציון אבטחה", שהוא פרויקט שהושק בנובמבר 2020 על ידי Google ו קרן אבטחת קוד פתוח (OpenSSF).
מסיבה זו, בפרסום זה נעמיק מעט בפרויקט האמור ובתוכו גרסה חדשה 2.0, שיש עכשיו בדיקות ויכולות משופרות כדי לייעל את הנתונים שנוצרו להמשך ניתוח.
ומכיוון שפרויקט זה אחראי על OpenSSF, מיד נשאיר את הקישור של שלנו פוסט קשור קודם איתו, כך שבמידת הצורך, מי שמעוניין ללמוד עוד על הקרן האמורה יכול לגשת אליה בקלות:
"קרן לינוקס הודיעה על הקמת פרויקט חדש בשם "OpenSSF" (Open Source Security Foundation) שמטרתו העיקרית להפגיש את עבודתם של מנהיגי התעשייה בתחום שיפור אבטחת תוכנת קוד. בכך תמשיך OpenSSF לפתח יוזמות כגון יוזמת התשתיות וקואליציית האבטחה קוד פתוח (יוזמת התשתיות המרכזית וקואליציית האבטחה הקוד הפתוח) ותפגיש עבודה נוספת הקשורה לאבטחה המתבצעת על ידי חברות שהצטרפו לפרויקט. ..." OpenSSF: פרויקט המתמקד בשיפור האבטחה של תוכנת קוד פתוח
כרטיס ציון אבטחה: כרטיסי ניקוי אבטחה
מה זה כרטיסי ניקוי אבטחה?
על פי א פרסום רשמי של קוד פתוח של גוגל, פרויקט זה תואר כך:
""כרטיסי ניקוי אבטחה" הוא אחד הפרויקטים הראשונים שהתפרסמו במסגרת OpenSSF מאז הקמתו באוגוסט 2020. המטרה היא ליצור באופן עצמאי "ציון אבטחה" עבור פרויקטים של קוד פתוח כדי לעזור למשתמשים להחליט על האמון, הסיכון תנוחה ביטחונית למקרה השימוש שלהם.
כרטיסי ניקוי אבטחה מגדירים קריטריוני הערכה ראשוניים שישמשו ליצירת כרטיס ניקוד לפרויקט קוד פתוח באופן אוטומטי לחלוטין. כל בדיקה בכרטיס הניקוד ניתנת לביצוע. חלק מדדי ההערכה בהם נעשה שימוש כוללים מדיניות אבטחה מוגדרת היטב, תהליך בדיקת קוד וכיסוי בדיקות שוטף עם כלים מטושטשים וניתוח קוד סטטי. בוליאני מוחזר וכן ציון ביטחון לכל בדיקת אבטחה.
עם הזמן גוגל תשפר את המדדים הללו באמצעות תרומות לקהילה באמצעות OpenSSF." כרטיסי ניקוד ביטחוניים לפרויקטים של קוד פתוח
כיצד פועלים כרטיסי ניקוי אבטחה?
על פי OpenSSF, "כרטיס ציון אבטחה" זה עובד באופן הבא:
צור א כרטיס ציון לפרויקט קוד פתוח באופן אוטומטי לחלוטין. אמנם, נכון לעכשיו הקוד עובד רק עם מאגרי תוכנה של GitHub, הרחבתו למאגרי קוד מקור אחרים נמצאת בתהליך. יתר על כן, חלק מה- מדדי הערכה בשימוש כוללים מדיניות אבטחה מוגדרת היטב, תהליך בדיקת קוד וכיסוי בדיקות שוטף עם כלים מטושטשים y ניתוח קוד סטטי.
בנוסף, היא מעריכה מעת לעת את פרויקטים קוד פתוח קריטיים וחושף את המידע (נתוני) הצ'קים באמצעות א מערך נתונים ציבורי של BigQuery המתעדכן מדי שבוע. ונתונים אלה יכולים לשמש גם להגדלת כל קבלת החלטות אוטומטית בעת הזנתם. תלות קוד פתוח חדש בתוך פרויקטים או ארגונים.
לפיכך, ארגונים יכולים להחליט בצורה אופטימלית יותר שיש תלות חדשה עם ציונים נמוכים צריך לעבור א הערכה נוספת. אז בדיקות אלה יכולות לעזור למתן תלות זדונית מלהתפרס במערכות ייצור.
כדי להרחיב מידע זה מ- שלך מקור רשמי (OpenSSF) אתה יכול לחקור את הדברים הבאים קישור.
מה חדש בגירסה 2.0
זה גרסה חדשה 2.0 שוחרר זמן קצר לאחר מכן Google תציג מסגרת מקיפה הנקראת "שכבות שרשרת אספקה לחפצי תוכנה" (רמות שרשרת אספקה לחפצי תוכנה - SLSA) המבקש להבטיח את שלמות חפצי התוכנה ולמנוע שינויים בלתי מורשים במהלך פיתוחם והטמעתם.
וזה כולל בקצרה באופן כללי את הדברים הבאים חדשות:
- שיפור בזיהוי סיכונים ידועים אפשריים.
- חיזק זיהוי תורמים זדוניים על ידי דרישה לבדיקת קוד צד ג 'לפני ביצוע ההתחייבות.
- מושלם איתור קוד פגיע באמצעות יישום בדיקות קוד סטטי וטשטוש מתמשך.
- שיפור בזיהוי תלות פגיעות כדי למתן סיכוני אבטחה אפשריים ולאפשר קבלת ההחלטות המתאימות ביותר להפחתתם.
להעמיק בפרטי ה- שיפורים או פונקציות עכשוויות אתה יכול לחקור את הדברים הבאים קישור.
תקציר
אנחנו מקווים שזה "פוסט קטן ומועיל" על «Security Scorecards», שהוא פרויקט שהושק על ידי Google ו קרן אבטחת קוד פתוח, שהוציאה לאחרונה א גרסה חדשה 2.0 שיש לו בדיקות משופרות ויכולות לייעל נתונים שנוצרו לניתוח נוסף; הוא בעל עניין ותועלת רבה לכל אורכו «Comunidad de Software Libre y Código Abierto» ותרומה רבה להפצת המערכת האקולוגית הנפלאה, הענקית והצומחת של יישומים של «GNU/Linux».
לעת עתה, אם אהבת את זה publicación, אל תפסיק שתף את זה עם אחרים, באתרים, בערוצים, בקבוצות או בקהילות הרשתות החברתיות או מערכות ההודעות המועדפות עליך, רצוי בחינם, פתוח ו / או מאובטח יותר כ מברק, לאותת, מסטודון או אחר של פדיברס, רצוי.
וזכרו לבקר בדף הבית שלנו בכתובת «DesdeLinux» לחקור חדשות נוספות ולהצטרף לערוץ הרשמי שלנו מברק של DesdeLinux. בעוד, למידע נוסף, תוכלו לבקר בכל אחד מהם ספרייה מקוונת כמו OpenLibra y ג'דיט, כדי לגשת ולקרוא ספרים דיגיטליים (קובצי PDF) בנושא זה או אחרים.