数日前 新しいバージョン2.0 と呼ばれるオープンソースプロジェクトから 「セキュリティスコアカード」、2020年XNUMX月に立ち上げられたプロジェクトです。 でログイン と オープンソースセキュリティ財団(OpenSSF)。
このため、この出版物では、このプロジェクトとそのプロジェクトについてもう少し深く掘り下げます。 新しいバージョン2.0、 それは今持っています 強化されたテストと機能 さらなる分析のために生成されたデータを最適化するため。
そして以来、このプロジェクトは OpenSSF、私たちはすぐに私たちのリンクを残します 以前の関連記事 必要に応じて、上記の財団についてもっと知りたい人が簡単にアクセスできるようにするためです。
「Linux Foundationは、「OpenSSF」(オープンソースセキュリティFoundation)と呼ばれる新しいプロジェクトの設立を発表しました。このプロジェクトの主な目的は、コードソフトウェアのセキュリティ強化の分野における業界リーダーの仕事をまとめることです。 これにより、OpenSSFは、インフラストラクチャイニシアチブやオープンソースセキュリティ連合(中央インフラストラクチャイニシアチブとオープンソースセキュリティ連合)などのイニシアチブを引き続き開発し、プロジェクトに参加した企業が実施しているその他のセキュリティ関連の作業をまとめます。 。。 OpenSSF:オープンソースソフトウェアのセキュリティの向上に焦点を当てたプロジェクト
セキュリティスコアカード:セキュリティスコアカード
セキュリティスコアカードとは何ですか?
一つによると Googleオープンソースの公式出版、このプロジェクトは次のように説明されています。
「「セキュリティスコアカード」は、2020年XNUMX月の開始以来OpenSSFフレームワーク内で公開された最初のプロジェクトのXNUMXつです。目標は、ユーザーが信頼、リスク、およびを決定するのに役立つオープンソースプロジェクトの「セキュリティスコア」を自己生成することです。ユースケースのセキュリティ体制。
セキュリティスコアカードは、完全に自動化された方法でオープンソースプロジェクトのスコアカードを生成するために使用される初期評価基準を定義します。 スコアカードのすべてのチェックは実行可能です。 使用される評価指標には、明確に定義されたセキュリティポリシー、コードレビュープロセス、ファジングツールと静的コード分析による継続的なテストカバレッジが含まれます。 ブール値と、各セキュリティチェックの信頼スコアが返されます。
今後、GoogleはOpenSSFを通じたコミュニティの貢献により、これらの指標を改善していきます。 オープンソースプロジェクトのセキュリティスコアカード
セキュリティスコアカードはどのように機能しますか?
Segúnラ OpenSSF, 「セキュリティスコアカード」 次のように機能します。
を生成します スコアカード 完全に自動化された方法でのオープンソースプロジェクトの場合。 ただし、現在、コードはでのみ機能します GitHubソフトウェアリポジトリ、他のソースコードリポジトリへの拡張はパイプラインにあります。 さらに、いくつかの 評価指標 使用されるのは、明確に定義されたセキュリティポリシー、コードレビュープロセス、および継続的なテストカバレッジです。 ファジングツール y 静的コード分析.
さらに、定期的に評価します 重要なオープンソースプロジェクト 小切手の情報(データ)を BigQueryパブリックデータセット これは毎週更新されます。 また、このデータを使用して、入力時に自動化された意思決定を強化することもできます。 新しいオープンソースの依存関係 プロジェクトまたは組織内。
したがって、組織は より最適に決定する そのいずれか 新しい依存関係 とともに 低スコア 通過する必要があります 追加評価。 したがって、これらのチェックは、悪意のある依存関係が実稼働システムにデプロイされるのを軽減するのに役立つ可能性があります。
あなたからこの情報を拡張するには 公式ソース(OpenSSF) あなたは以下を探索することができます リンク.
バージョン2.0の新機能
これ 新しいバージョン2.0 直後にリリースされました でログイン と呼ばれる包括的なフレームワークを提示します 「ソフトウェア成果物のサプライチェーン層」 (ソフトウェアアーティファクトのサプライチェーンレベル-SLSA) これは、ソフトウェアアーティファクトの整合性を確保し、開発および実装中の不正な変更を防止することを目的としています。
そしてそれは一般的な方法で簡単に以下を含みます 新しい:
- 考えられる既知のリスクの特定の改善。
- コミットする前にサードパーティのコードレビューを要求することにより、悪意のある貢献者の検出を強化しました。
- 静的コードテストと継続的なファジングの実装を通じて、脆弱なコードの検出を完成させます。
- 脆弱な依存関係の識別を改善して、起こりうるセキュリティリスクを軽減し、それらを軽減するための最も適切な決定を下せるようにします。
詳細を掘り下げるには 現在の機能強化または機能 あなたは以下を探索することができます リンク.
要約
これを願っています 「便利な小さな投稿 オン «Security Scorecards»
、によって立ち上げられたプロジェクトです でログイン と オープンソースセキュリティ財団、最近リリースした 新しいバージョン2.0 生成されたデータをさらに分析するために最適化するためのテストと機能が強化されていること。 全体として、非常に興味深く有用です «Comunidad de Software Libre y Código Abierto»
そして、アプリケーションの素晴らしい、巨大で成長しているエコシステムの普及に大きく貢献しています «GNU/Linux»
.
今のところ、これが好きなら publicación
、 止まらないで それを共有する 他の人と一緒に、お気に入りのWebサイト、チャネル、グループ、またはソーシャルネットワークやメッセージングシステムのコミュニティで、できれば無料、オープン、および/またはより安全な Telegram, シグナル, マストドン または別の フェディバース、できれば。
そして、私たちのホームページにアクセスすることを忘れないでください «DesdeLinux» より多くのニュースを探索するだけでなく、の公式チャンネルに参加する の電報 DesdeLinux. 詳細については、次のいずれかにアクセスできます。 オンラインライブラリ として OpenLibra y ジェディット, このトピックまたは他のトピックに関するデジタルブック(PDF)にアクセスして読むため。