Saugos rezultatų kortelės: kas tai yra ir kas naujo naujojoje jos versijoje 2.0?
Prieš kelias dienas a nauja versija 2.0 m iš atvirojo kodo projekto pavadinimu „Saugos rezultatų kortelės“, tai yra projektas, kurį 2020 m. lapkričio mėn. pradėjo "Google" ir „Open Source Security Foundation“ („OpenSSF“).
Dėl šios priežasties šiame leidinyje mes šiek tiek gilinsimės į minėtą projektą ir jo nauja versija 2.0, kad dabar turi Patobulintas testavimas ir galimybės optimizuoti gautus duomenis tolesnei analizei.
Kadangi šis projektas yra atsakingas už „OpenSSF“, mes nedelsdami paliksime savo nuorodą ankstesnis susijęs įrašas jei reikia, tiems, kurie nori sužinoti daugiau apie minėtą fondą, būtų lengva prieiti prie jo:
"Paskelbė apie naujo projekto, vadinamo "OpenSSF" (Atviro kodo saugumo fondo), sudarymą, kurio pagrindinis tikslas yra suburti pramonės lyderių darbą kodų programinės įrangos saugumo stiprinimo srityje. Tuo tikslu „OpenSSF“ toliau plėtos tokias iniciatyvas kaip infrastruktūros iniciatyva ir atvirojo kodo saugumo koalicija (centrinė infrastruktūros iniciatyva ir atvirojo kodo saugumo koalicija) ir suburs kitus su saugumu susijusius darbus, kuriuos atlieka prie projekto prisijungusios įmonės. ..." „OpenSSF“: projektas, kurio tikslas - pagerinti atvirojo kodo programinės įrangos saugumą
Apsaugos rezultatų kortelės: saugos balų kortelės
Kas yra saugos rezultatų kortelės?
Pasak a oficialus „Google Open Source“ leidinys, šis projektas buvo apibūdintas taip:
"„Saugos rezultatų kortelės“ yra vienas iš pirmųjų projektų, paskelbtų „OpenSSF“ sistemoje nuo pat jo įkūrimo 2020 m. Rugpjūčio mėn. Tikslas yra savarankiškai sukurti „saugumo balą“ atvirojo kodo projektams, kad vartotojai galėtų lengviau nuspręsti dėl pasitikėjimo, rizikos ir saugumo padėtis jų naudojimo atveju.
Saugos rezultatų kortelės apibrėžia pradinius vertinimo kriterijus, kurie bus naudojami visiškai automatizuotai sukuriant atviro kodo projekto rezultatų kortelę. Kiekvieną rezultatų kortelės patikrinimą galima atlikti. Kai kurios naudojamos vertinimo metrikos apima tiksliai apibrėžtą saugumo politiką, kodo peržiūros procesą ir nuolatinį testavimo aprėptį naudojant statinio kodo analizę ir suveikusius įrankius. Grąžinamas loginis rodiklis, taip pat kiekvieno saugumo patikrinimo patikimumo balas.
Laikui bėgant „Google“ tobulins šią metriką naudodama bendruomenės indėlį per „OpenSSF“." Atvirojo kodo projektų saugos rezultatų kortelės
Kaip veikia saugos rezultatų kortelės?
Según la „OpenSSF“, „Saugos rezultatų kortelės“ jis veikia taip:
Generuoti a rezultatų kortelė atviro kodo projektui visiškai automatizuotai. Nors šiuo metu kodas veikia tik su „GitHub“ programinės įrangos saugyklos, jo plėtra į kitas šaltinio kodų saugyklas yra rengiama. Be to, kai kurie vertinimo metrika naudojama aiškiai apibrėžta saugumo politika, kodo peržiūros procesas ir nuolatinis testavimas su susikaupę įrankiai y statinio kodo analizė.
Be to, ji periodiškai vertina kritinio atvirojo kodo projektai ir atskleidžia patikrinimų informaciją (duomenis) per a „BigQuery“ viešasis duomenų rinkinys kuris atnaujinamas kas savaitę. Šie duomenys taip pat gali būti naudojami bet kokiam automatiniam sprendimų priėmimui, kai jie įvedami. naujos atvirojo kodo priklausomybės projektų ar organizacijų viduje.
Taigi organizacijos galėtų nuspręsti optimaliau Kad bet koks nauja priklausomybė su maži balai turėtų praeiti a papildomas vertinimas. Taigi šie patikrinimai gali padėti sušvelninti kenkėjišką priklausomybę nuo diegimo gamybos sistemose.
Norėdami išplėsti šią informaciją iš savo oficialus šaltinis (OpenSSF) galite ištirti šiuos dalykus nuoroda.
Kas naujo 2.0 versijoje
tai nauja versija 2.0 m netrukus buvo paleistas "Google" pristatys išsamią sistemą, vadinamą „Programinės įrangos artefaktų tiekimo grandinės pakopos“ (Programinės įrangos artefaktų tiekimo grandinės lygiai - SLSA) kuria siekiama užtikrinti programinės įrangos artefaktų vientisumą ir užkirsti kelią neteisėtam modifikavimui jų kūrimo ir diegimo metu.
Ir trumpai, paprastai, pateikiama ši informacija naujas:
- Patobulintas galimo žinomo pavojaus nustatymas.
- Sustiprintas kenksmingų bendraautorių nustatymas reikalaujant trečiųjų šalių kodų peržiūros prieš įsipareigojant.
- Tobulinti pažeidžiamo kodo aptikimą, įgyvendinant statinio kodo testus ir nuolat veikiant.
- Geresnis pažeidžiamų priklausomybių nustatymas siekiant sumažinti galimą pavojų saugumui ir leisti priimti tinkamiausius sprendimus dėl jų mažinimo.
Norėdami įsigilinti į dabartinius patobulinimus ar funkcijas galite ištirti šiuos dalykus nuoroda.
Santrauka
Mes to tikimės "naudingas mažas įrašas" apie «Security Scorecards», kuris yra projektas, kurį pradėjo "Google" ir Atvirojo kodo saugumo fondas, kuris neseniai išleido a nauja versija 2.0 m kad ji turi patobulintą bandymą ir galimybes optimizuoti sugeneruotus duomenis tolesnei analizei; yra labai įdomus ir naudingas visam «Comunidad de Software Libre y Código Abierto» ir labai prisideda skleidžiant nuostabią, gigantišką ir vis didėjančią ESG ekosistemą «GNU/Linux».
Kol kas, jei jums tai patiko publicación, Nesustok pasidalink su kitais savo mėgstamose svetainėse, kanaluose, socialinių tinklų ar susirašinėjimo sistemų grupėse ar bendruomenėse, pageidautina nemokamai, atvirai ir (arba) saugiau, Telegram, signalas, Mastadonas ar kitas iš Fediverse, pageidautina.
Nepamirškite apsilankyti mūsų pagrindiniame puslapyje «DesdeLinux» ištirti daugiau naujienų ir prisijungti prie mūsų oficialaus kanalo Telegrama iš DesdeLinux. Nors, norėdami gauti daugiau informacijos, galite apsilankyti bet kuriame Internetinė biblioteka kaip „OpenLibra“ y jeditas, prieiti ir skaityti skaitmenines knygas (PDF) šia ar kitomis temomis.