보안 스코어 카드 : 무엇이고 새 버전 2.0의 새로운 기능은 무엇입니까?

보안 스코어 카드 : 무엇이고 새 버전 2.0의 새로운 기능은 무엇입니까?

보안 스코어 카드 : 무엇이고 새 버전 2.0의 새로운 기능은 무엇입니까?

며칠 전 새 버전 2.0 오픈 소스 프로젝트에서 "보안 스코어 카드"에 의해 2020 년 XNUMX 월에 시작된 프로젝트입니다. 구글OpenSSF (Open Source Security Foundation).

이러한 이유로이 간행물에서 우리는 언급 한 프로젝트와 그 프로젝트에 대해 좀 더 깊이 파고들 것입니다. 새 버전 2.0, 지금은 향상된 테스트 및 기능 추가 분석을 위해 생성 된 데이터를 최적화합니다.

오픈SSF

그리고이 프로젝트는 오픈SSF, 우리는 즉시 우리의 링크를 떠날 것입니다 이전 관련 게시물 필요한 경우 해당 재단에 대해 더 자세히 알고 싶은 사람들이 쉽게 액세스 할 수 있도록합니다.

"리눅스 재단은 코드 소프트웨어 보안 강화 분야에서 업계 리더들의 작업을한데 모으는 것을 주요 목표로하는 "OpenSSF"(오픈 소스 보안 재단)라는 새로운 프로젝트의 형성을 발표했습니다. 이를 통해 OpenSSF는 Infrastructure Initiative 및 Open Source Security Coalition (Central Infrastructure Initiative 및 Open Source Security Coalition)과 같은 이니셔티브를 계속 개발하고 프로젝트에 참여한 회사가 수행하는 다른 보안 관련 작업을 함께 모을 것입니다. …" OpenSSF : 오픈 소스 소프트웨어의 보안 향상에 초점을 맞춘 프로젝트

오픈SSF
관련 기사 :
OpenSSF : 오픈 소스 소프트웨어의 보안 향상에 초점을 맞춘 프로젝트
Sigstore : 오픈 소스 공급망 개선 프로젝트
관련 기사 :
Sigstore : 오픈 소스 공급망 개선 프로젝트

보안 스코어 카드 : 보안 스코어 카드

보안 스코어 카드 : 보안 스코어 카드

보안 스코어 카드 란 무엇입니까?

에 따르면 Google 오픈 소스의 공식 간행물,이 프로젝트는 다음과 같이 설명되었습니다.

""Security Scorecards"는 2020 년 XNUMX 월에 시작된 이래 OpenSSF 프레임 워크 내에서 게시 된 최초의 프로젝트 중 하나입니다. 목표는 사용자가 신뢰, 위험 및 사용 사례에 대한 보안 태세.

보안 스코어 카드는 완전 자동화 된 방식으로 오픈 소스 프로젝트에 대한 스코어 카드를 생성하는 데 사용될 초기 평가 기준을 정의합니다. 스코어 카드의 모든 점검은 실행 가능합니다. 사용되는 평가 지표 중 일부에는 잘 정의 된 보안 정책, 코드 검토 프로세스, 퍼징 도구 및 정적 코드 분석을 통한 지속적인 테스트 범위가 포함됩니다. 각 보안 검사에 대한 신뢰도 점수와 함께 부울이 반환됩니다.

시간이 지남에 따라 Google은 OpenSSF를 통한 커뮤니티 기여를 통해 이러한 측정 항목을 개선 할 것입니다." 오픈 소스 프로젝트를위한 보안 스코어 카드

Security Scorecard는 어떻게 작동합니까?

에 따르면 오픈SSF"보안 스코어 카드" 다음과 같이 작동합니다.

생성 점수 카드 완전히 자동화 된 방식으로 오픈 소스 프로젝트를 위해. 현재 코드는 GitHub 소프트웨어 리포지토리, 다른 소스 코드 저장소로의 확장이 진행 중입니다. 또한 일부 평가 메트릭 잘 정의 된 보안 정책, 코드 검토 프로세스 및 지속적인 테스트 범위가 사용됩니다. 퍼징 도구 y 정적 코드 분석.

또한 주기적으로 중요한 오픈 소스 프로젝트 수표의 정보 (데이터)를 BigQuery 공개 데이터 세트 매주 업데이트됩니다. 또한이 데이터는 입력시 자동화 된 의사 결정을 강화하는 데 사용될 수도 있습니다. 새로운 오픈 소스 종속성 프로젝트 또는 조직 내에서.

따라서 조직은 더 최적으로 결정 그 어떤 새로운 의존성낮은 점수 통과해야 추가 평가. 따라서 이러한 검사는 프로덕션 시스템에 배포되는 악성 종속성을 완화하는 데 도움이 될 수 있습니다.

이 정보를 확장하려면 공식 소스 (OpenSSF) 다음을 탐색 할 수 있습니다. 링크.

버전 2.0의 새로운 기능

새 버전 2.0 곧 출시되었습니다 구글 포괄적 인 프레임 워크를 제시합니다. "소프트웨어 아티팩트에 대한 공급망 계층" (소프트웨어 아티팩트에 대한 공급망 수준-SLSA) 이는 소프트웨어 아티팩트의 무결성을 보장하고 개발 및 구현 중에 무단 수정을 방지합니다.

그리고 일반적으로 다음을 포함합니다. 새로운:

  1. 가능한 알려진 위험 식별 개선.
  2. 커밋 전에 필수 타사 코드 검토를 통해 악의적 인 기여자 탐지를 강화했습니다.
  3. 정적 코드 테스트 및 지속적인 퍼징 구현을 통해 취약한 코드 탐지를 완벽하게합니다.
  4. 취약한 종속성 식별을 개선하여 가능한 보안 위험을 완화하고 완화를 위해 가장 적절한 결정을 내릴 수 있습니다.

의 세부 사항을 탐구하려면 현재 개선 사항 또는 기능 다음을 탐색 할 수 있습니다. 링크.

요약 : 다양한 출판물

개요

우리는 이것을 바랍니다 "유용한 작은 게시물"«Security Scorecards»,이 프로젝트는 구글오픈 소스 보안 재단, 누가 최근에 새 버전 2.0 추가 분석을 위해 생성 된 데이터를 최적화하기 위해 향상된 테스트 및 기능을 제공합니다. 큰 관심과 유용성입니다. «Comunidad de Software Libre y Código Abierto» 응용 프로그램의 훌륭하고 거대하며 성장하는 생태계의 확산에 큰 기여 «GNU/Linux».

지금은 이걸 좋아했다면 publicación, 멈추지 마 그것을 공유 좋아하는 웹 사이트, 채널, 그룹 또는 소셜 네트워크 또는 메시징 시스템의 커뮤니티에서 다른 사람과 함께, 가급적이면 무료, 개방형 및 / 또는보다 안전한 텔레그램신호마 스톤 또는 다른 페디 버스, 바람직하게.

그리고 우리 홈페이지를 방문하는 것을 잊지 마십시오. «DesdeLinux» 더 많은 뉴스를 탐색하고 공식 채널에 가입하십시오. 전보 DesdeLinux더 많은 정보를 원하시면 온라인 도서관 으로 OpenLibra y 제잇, 이 주제 또는 다른 주제에 대한 디지털 책 (PDF)에 액세스하고 읽을 수 있습니다.


코멘트를 첫번째로 올려

코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.