Sécherheets Scorecards: Wat ass et a wat ass nei a senger neier Versioun 2.0?

Sécherheets Scorecards: Wat ass et a wat ass nei a senger neier Versioun 2.0?

Sécherheets Scorecards: Wat ass et a wat ass nei a senger neier Versioun 2.0?

Virun e puer Deeg a nei Versioun 2.0 vum Open Source Projet genannt "Sécherheets Scorecards", wat e Projet ass deen am November 2020 vum Google An de Open Source Security Foundation (OpenSSF).

Aus dësem Grond wäerte mir an dëser Verëffentlechung e bësse méi déif an dee Projet a säi verdéiwen nei Versioun 2.0, dat huet elo Verbesserte Tester a Fäegkeeten fir d'Daten ze generéieren déi fir weider Analyse generéiert ginn.

OpenSSF

A well dëse Projet zoustänneg ass fir den OpenSSF, mir verloossen direkt de Link vun eiser virdrun Zesummenhang Post domat, fir datt wann néideg, déi interesséiert méi iwwer dës Fondatioun ze léieren einfach Zougang kréien:

"D'Linux Foundation huet d'Bildung vun engem neie Projet mam Numm "OpenSSF" (Open Source Security Foundation) ugekënnegt, deen als Haaptziel huet d'Aarbecht vun de Leader vun der Industrie am Beräich vun der Code Software Sécherheet ze verbesseren. Mat dësem wäert OpenSSF weider Initiativen entwéckelen wéi d'Infrastructure Initiative an d'Open Source Security Coalition (Central Infrastructure Initiative an d'Open Source Security Coalition) a wäert aner Sécherheetsbezunnen Aarbecht zesumme bréngen, déi vu Firmen ausgefouert ginn, déi mam Projet bäikomm sinn. ." OpenSSF: e Projet fokusséiert op d'Verbesserung vun der Sécherheet vun der Open Source Software

Verbonnen Artikel:
OpenSSF: e Projet fokusséiert op d'Verbesserung vun der Sécherheet vun der Open Source Software

Verbonnen Artikel:
Sigstore: Projet fir d'Open Source Supply Chain ze verbesseren

Sécherheet Scorecards: Sécherheets Score Kaarte

Sécherheet Scorecards: Sécherheets Score Kaarte

Wat ass Sécherheet Scorecards?

No engem offiziell Verëffentlechung vu Google Open Source, dëse Projet gouf wéi follegt beschriwwen:

""Security Scorecards" ass ee vun den éischte Projeten, déi am OpenSSF Kader publizéiert ginn zënter der Grënnung am August 2020. D'Zil ass selwer e "Sécherheets Score" fir Open Source Projeten ze generéieren, fir de Benotzer ze hëllefen d'Vertrauen, de Risiko an Sécherheet Haltung fir hire Benotzungsfall.

Security Scorecards definéiert eng éischt Evaluatiounskriterien déi benotzt gi fir eng Scorecard fir en Open Source Projet op eng voll automatiséiert Manéier ze generéieren. All Scheck op der Kaart ass handlungsfäeg. E puer vun den Evaluatiounsmetriken, déi benotzt ginn, enthalen eng gutt definéiert Sécherheetspolitik, e Code Review Prozess, a lafend Testofdeckung mat fuzzing Tools a statesch Code Analyse. E Boolschen gëtt zréck wéi och e Vertrauensscor fir all Sécherheetscheck.

Mat der Zäit verbessert Google dës Metriken mat Gemeinschaftsbäiträg duerch OpenSSF." Sécherheetsscorecards fir Open Source Projeten

Wéi funktionnéiert Security Scorecards?

Laut dem OpenSSF"Sécherheets Scorecards" et funktionnéiert wéi follegt:

Generéiere a Punktzuel Kaart fir en Open Source Projet op eng voll automatiséiert Manéier. Obwuel, de Moment funktionnéiert de Code nëmme mat GitHub Software Repositories, seng Expansioun op aner Quellcode Repositories ass an der Pipeline. Desweideren, e puer vun de Evaluatiounsmetriken benotzt enthalen eng gutt definéiert Sécherheetspolitik, e Code Review Prozess, a lafend Testofdeckung mat fuzzing Tools y statesch Code Analyse.

Zousätzlech evaluéiert et periodesch de kritesch Open Source Projeten an weist d'Informatioun (Daten) vun de Schecken duerch a BigQuery ëffentlechen Dataset déi wöchentlech aktualiséiert gëtt. An dës Donnéeë kënnen och benotzt ginn fir all automatiséiert Entscheedung ze erhéijen wann se aginn. nei Open Source Ofhängegkeeten bannent Projeten oder Organisatiounen.

Sou konnten Organisatiounen méi optimal entscheeden Dat iergendeen nei Ofhängegkeet Mat niddereg Punkten soll duerch eng zousätzlech Evaluatioun. Also dës Kontrollen kéinten hëllefen béiswëlleg Ofhängegkeeten ze reduzéieren andeems se op Produktiounssystemer agesat ginn.

Fir dës Informatioun aus Ärem offiziell Quell (OpenSSF) kënnt Dir folgend entdecken Link.

Wat ass nei an der Versioun 2.0

Dëst ass nei Versioun 2.0 gouf kuerz drop verëffentlecht Google wäert eng ëmfaassend Kader presentéieren genannt "Supply Chain Tiers fir Software Artefakte" (Supply Chain Levels fir Software Artefakten - SLSA) déi versicht d'Integritéit vu Software Artefakte ze garantéieren an onerlaabte Modifikatioune während hirer Entwécklung an Ëmsetzung ze vermeiden.

An et enthält kuerz op eng allgemeng Manéier déi folgend Neiegkeeten:

  1. Verbesserung vun der Identifikatioun vu méigleche bekannte Risiken.
  2. Gestäerkt béiswëlleg Contributeur Detektioun andeems Dir Drëtt Partei Code iwwerpréift ier Dir engagéiert.
  3. Perfekt d'Detektioun vu vulnérabelem Code duerch d'Ëmsetzung vu statesche Code Tester a kontinuéierlech Fuzzing.
  4. Verbesserung vun der Identifikatioun vu vulnerablen Ofhängegkeete fir méiglech Sécherheetsrisiken ze reduzéieren an déi entspriechend Entscheedunge fir hir Reduktioun ze maachen.

Fir an d'Detailer vun der aktuell Verbesserungen oder Funktionalitéiten kënnt Dir folgend entdecken Link.

Zesummefaassung: Verschidde Publikatiounen

Summary

Mir hoffen dat "hëllefräich klenge Post" ongeféier «Security Scorecards», wat e Projet ass, dee vun Google An de Open Source Sécherheets Foundation, dee viru kuerzem eng nei Versioun 2.0 datt et Tester a Fäegkeeten verbessert huet fir generéiert Daten fir weider Analyse ze optimiséieren; ass vu groussem Interesse an Utilitéit, fir d'ganz «Comunidad de Software Libre y Código Abierto» a vu grousse Bäitrag zur Diffusioun vum wonnerschéinen, giganteschen a wuessenden Ökosystem vun Uwendunge vu «GNU/Linux».

Fir elo, wann Dir dëst gär hätt publicación, Net ophalen deelen et mat aneren, op Äre Liiblingswebsäiten, Kanäl, Gruppen oder Gemeinschaften vu sozialen Netzwierker oder Messagerie Systemer, am beschten gratis, oppen an / oder méi sécher wéi Hëllefe profitéierenSignalMastodon oder eng aner vun Fediverse, am léifsten.

An denkt drun eis Homepage bei ze besichen «FromLinux» fir méi Neiegkeeten ze entdecken, sou wéi och mat eisem offizielle Kanal vun Telegramm vu FromLinuxWärend, fir méi Informatioun, kënnt Dir all besichen Online Bibliothéik wéi OpenLibra y JedIT, fir digital Bicher (PDFs) zu dësem Thema oder aneren z'erreechen an ze liesen.


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.