며칠 전 새 버전 2.0 오픈 소스 프로젝트에서 "보안 스코어 카드"에 의해 2020 년 XNUMX 월에 시작된 프로젝트입니다. 구글 과 OpenSSF (Open Source Security Foundation).
이러한 이유로이 간행물에서 우리는 언급 한 프로젝트와 그 프로젝트에 대해 좀 더 깊이 파고들 것입니다. 새 버전 2.0, 지금은 향상된 테스트 및 기능 추가 분석을 위해 생성 된 데이터를 최적화합니다.
그리고이 프로젝트는 오픈SSF, 우리는 즉시 우리의 링크를 떠날 것입니다 이전 관련 게시물 필요한 경우 해당 재단에 대해 더 자세히 알고 싶은 사람들이 쉽게 액세스 할 수 있도록합니다.
"리눅스 재단은 코드 소프트웨어 보안 강화 분야에서 업계 리더들의 작업을한데 모으는 것을 주요 목표로하는 "OpenSSF"(오픈 소스 보안 재단)라는 새로운 프로젝트의 형성을 발표했습니다. 이를 통해 OpenSSF는 Infrastructure Initiative 및 Open Source Security Coalition (Central Infrastructure Initiative 및 Open Source Security Coalition)과 같은 이니셔티브를 계속 개발하고 프로젝트에 참여한 회사가 수행하는 다른 보안 관련 작업을 함께 모을 것입니다. …" OpenSSF : 오픈 소스 소프트웨어의 보안 향상에 초점을 맞춘 프로젝트
보안 스코어 카드 : 보안 스코어 카드
보안 스코어 카드 란 무엇입니까?
에 따르면 Google 오픈 소스의 공식 간행물,이 프로젝트는 다음과 같이 설명되었습니다.
""Security Scorecards"는 2020 년 XNUMX 월에 시작된 이래 OpenSSF 프레임 워크 내에서 게시 된 최초의 프로젝트 중 하나입니다. 목표는 사용자가 신뢰, 위험 및 사용 사례에 대한 보안 태세.
보안 스코어 카드는 완전 자동화 된 방식으로 오픈 소스 프로젝트에 대한 스코어 카드를 생성하는 데 사용될 초기 평가 기준을 정의합니다. 스코어 카드의 모든 점검은 실행 가능합니다. 사용되는 평가 지표 중 일부에는 잘 정의 된 보안 정책, 코드 검토 프로세스, 퍼징 도구 및 정적 코드 분석을 통한 지속적인 테스트 범위가 포함됩니다. 각 보안 검사에 대한 신뢰도 점수와 함께 부울이 반환됩니다.
시간이 지남에 따라 Google은 OpenSSF를 통한 커뮤니티 기여를 통해 이러한 측정 항목을 개선 할 것입니다." 오픈 소스 프로젝트를위한 보안 스코어 카드
Security Scorecard는 어떻게 작동합니까?
에 따르면 오픈SSF, "보안 스코어 카드" 다음과 같이 작동합니다.
생성 점수 카드 완전히 자동화 된 방식으로 오픈 소스 프로젝트를 위해. 현재 코드는 GitHub 소프트웨어 리포지토리, 다른 소스 코드 저장소로의 확장이 진행 중입니다. 또한 일부 평가 메트릭 잘 정의 된 보안 정책, 코드 검토 프로세스 및 지속적인 테스트 범위가 사용됩니다. 퍼징 도구 y 정적 코드 분석.
또한 주기적으로 중요한 오픈 소스 프로젝트 수표의 정보 (데이터)를 BigQuery 공개 데이터 세트 매주 업데이트됩니다. 또한이 데이터는 입력시 자동화 된 의사 결정을 강화하는 데 사용될 수도 있습니다. 새로운 오픈 소스 종속성 프로젝트 또는 조직 내에서.
따라서 조직은 더 최적으로 결정 그 어떤 새로운 의존성 와 낮은 점수 통과해야 추가 평가. 따라서 이러한 검사는 프로덕션 시스템에 배포되는 악성 종속성을 완화하는 데 도움이 될 수 있습니다.
이 정보를 확장하려면 공식 소스 (OpenSSF) 다음을 탐색 할 수 있습니다. 링크.
버전 2.0의 새로운 기능
이 새 버전 2.0 곧 출시되었습니다 구글 포괄적 인 프레임 워크를 제시합니다. "소프트웨어 아티팩트에 대한 공급망 계층" (소프트웨어 아티팩트에 대한 공급망 수준-SLSA) 이는 소프트웨어 아티팩트의 무결성을 보장하고 개발 및 구현 중에 무단 수정을 방지합니다.
그리고 일반적으로 다음을 포함합니다. 새로운:
- 가능한 알려진 위험 식별 개선.
- 커밋 전에 필수 타사 코드 검토를 통해 악의적 인 기여자 탐지를 강화했습니다.
- 정적 코드 테스트 및 지속적인 퍼징 구현을 통해 취약한 코드 탐지를 완벽하게합니다.
- 취약한 종속성 식별을 개선하여 가능한 보안 위험을 완화하고 완화를 위해 가장 적절한 결정을 내릴 수 있습니다.
의 세부 사항을 탐구하려면 현재 개선 사항 또는 기능 다음을 탐색 할 수 있습니다. 링크.
개요
우리는 이것을 바랍니다 "유용한 작은 게시물" 에 «Security Scorecards»
,이 프로젝트는 구글 과 오픈 소스 보안 재단, 누가 최근에 새 버전 2.0 추가 분석을 위해 생성 된 데이터를 최적화하기 위해 향상된 테스트 및 기능을 제공합니다. 큰 관심과 유용성입니다. «Comunidad de Software Libre y Código Abierto»
응용 프로그램의 훌륭하고 거대하며 성장하는 생태계의 확산에 큰 기여 «GNU/Linux»
.
지금은 이걸 좋아했다면 publicación
, 멈추지 마 그것을 공유 좋아하는 웹 사이트, 채널, 그룹 또는 소셜 네트워크 또는 메시징 시스템의 커뮤니티에서 다른 사람과 함께, 가급적이면 무료, 개방형 및 / 또는보다 안전한 텔레그램, 신호, 마 스톤 또는 다른 페디 버스, 바람직하게.
그리고 우리 홈페이지를 방문하는 것을 잊지 마십시오. «DesdeLinux» 더 많은 뉴스를 탐색하고 공식 채널에 가입하십시오. 전보 DesdeLinux. 더 많은 정보를 원하시면 온라인 도서관 으로 OpenLibra y 제잇, 이 주제 또는 다른 주제에 대한 디지털 책 (PDF)에 액세스하고 읽을 수 있습니다.