Drošības rādītāju kartes: kas tas ir un kas jauns jaunajā versijā 2.0?
Pirms dažām dienām a jaunā versija 2.0. gads no atvērtā pirmkoda projekta ar nosaukumu "Drošības rādītāju kartes", kas ir projekts, kuru uzsāka 2020. gada novembrī google un Atvērtā koda drošības fonds (OpenSSF).
Šī iemesla dēļ šajā publikācijā mēs nedaudz iedziļināsimies minētajā projektā un tā projektā jaunā versija 2.0, kas tagad ir Uzlabota testēšana un iespējas optimizēt iegūtos datus turpmākai analīzei.
Tā kā šis projekts ir atbildīgs par OpenSSF, mēs nekavējoties atstāsim mūsu saiti iepriekšējā saistītā ziņa ar to, lai nepieciešamības gadījumā tiem, kas vēlas uzzināt vairāk par minēto fondu, būtu viegli piekļūt:
"Ir paziņojusi par jauna projekta izveidi ar nosaukumu "OpenSSF" (atvērtā pirmkoda drošības fonds), kura galvenais mērķis ir apvienot nozares līderu darbu kodu programmatūras drošības uzlabošanas jomā. Līdz ar to OpenSSF turpinās attīstīt tādas iniciatīvas kā Infrastruktūras iniciatīva un Atklātā pirmkoda drošības koalīcija (Centrālā infrastruktūras iniciatīva un Atvērtā koda drošības koalīcija) un apvienos citus ar drošību saistītus darbus, ko veic uzņēmumi, kas pievienojušies projektam. ..." OpenSSF: projekts, kas vērsts uz atvērtā pirmkoda programmatūras drošības uzlabošanu
Drošības rādītāju kartes: Drošības rādītāju kartes
Kas ir drošības rādītāju kartes?
Saskaņā ar a Google Open Source oficiālā publikācija, šis projekts tika aprakstīts šādi:
""Drošības rādītāju kartes" ir viens no pirmajiem projektiem, kas publicēts OpenSSF ietvaros kopš tā sākuma 2020. gada augustā. Mērķis ir pašiem ģenerēt "drošības rādītājus" atvērtā koda projektiem, lai palīdzētu lietotājiem izlemt uzticību, risku un drošības poza viņu lietošanas gadījumam.
Drošības rādītāju kartes nosaka sākotnējos vērtēšanas kritērijus, kas tiks izmantoti, lai pilnībā automatizēti ģenerētu rādītāju karti atklātā pirmkoda projektam. Katra rādītāju kartes pārbaude ir piemērota. Daži no izmantotajiem novērtēšanas rādītājiem ietver precīzi definētu drošības politiku, koda pārskatīšanas procesu un nepārtrauktu testēšanas pārklājumu ar statisko kodu analīzi un sapludināšanas rīkiem. Tiek atgriezta Būla vērtība, kā arī ticamības rādītājs katrai drošības pārbaudei.
Laika gaitā Google uzlabos šos rādītājus, izmantojot kopienas ieguldījumu, izmantojot OpenSSF." Drošības rādītāju kartes atvērtā pirmkoda projektiem
Kā darbojas drošības rādītāju kartes?
Segun La OpenSSF, "Drošības rādītāju kartes" tas darbojas šādi:
Izveidot a rezultātu karte pilnībā atvērtā pirmkoda projektam. Lai gan šobrīd kods darbojas tikai ar GitHub programmatūras krātuves, tā paplašināšana uz citiem pirmkodu krātuvēm ir sagatavošanas stadijā. Turklāt daži no novērtēšanas metrika izmantotā precīzi definēta drošības politika, koda pārskatīšanas process un pastāvīgs testēšanas pārklājums ar fuzzing instrumenti y statiskā koda analīze.
Turklāt tas periodiski novērtē kritiskā atvērtā koda projekti un atklāj informāciju (datus) par pārbaudēm, izmantojot a BigQuery publiskā datu kopa kas tiek atjaunināts katru nedēļu. Šos datus var izmantot arī, lai uzlabotu jebkuru automatizētu lēmumu pieņemšanu, ievadot tos. jaunas atvērtā koda atkarības projektu vai organizāciju ietvaros.
Tādējādi organizācijas varēja izlemt optimālāk Ka kāds jauna atkarība ar zemie rādītāji vajadzētu iziet cauri papildu novērtējums. Tātad šīs pārbaudes varētu palīdzēt mazināt ļaunprātīgas atkarības no izvietošanas ražošanas sistēmās.
Lai paplašinātu šo informāciju no jūsu oficiālais avots (OpenSSF) varat izpētīt sekojošo saite.
Kas jauns versijā 2.0
šis jaunā versija 2.0. gads ir atbrīvots neilgi pēc tam google iepazīstinās ar visaptverošu sistēmu ar nosaukumu "Programmatūras artefaktu piegādes ķēdes līmeņi" (Piegādes ķēdes līmeņi programmatūras artefaktiem - SLSA) kas cenšas nodrošināt programmatūras artefaktu integritāti un novērst neatļautas modifikācijas to izstrādes un ieviešanas laikā.
Un tas īsumā vispārīgi ietver sekojošo jauns:
- Iespējamo zināmo risku identificēšanas uzlabošana.
- Pastiprināta ļaunprātīga līdzautora noteikšana, pieprasot trešās puses koda pārskatīšanu pirms apņemšanās.
- Pilnveidot neaizsargāta koda noteikšanu, izmantojot statisko kodu testus un nepārtrauktu kodolenerģiju.
- Uzlabot neaizsargāto atkarību noteikšanu, lai mazinātu iespējamos drošības riskus un ļautu pieņemt vispiemērotākos lēmumus to mazināšanai.
Lai iedziļinātos pašreizējie uzlabojumi vai funkcijas varat izpētīt sekojošo saite.
Kopsavilkums
Mēs to ceram "noderīga maz ziņa" uz «Security Scorecards», kas ir projekts, kuru uzsāka google un Atvērtā koda drošības fonds, kurš nesen izlaida a jaunā versija 2.0. gads ka tai ir uzlabota testēšana un iespējas optimizēt iegūtos datus turpmākai analīzei; ir liela interese un lietderība kopumā «Comunidad de Software Libre y Código Abierto» un liels ieguldījums brīnišķīgās, gigantiskās un augošās EOS ekosistēmas izplatībā «GNU/Linux».
Pagaidām, ja jums tas patika publicación, Neapstājies padalies ar to kopā ar citiem jūsu iecienītākajās vietnēs, kanālos, sociālo tīklu vai ziņojumapmaiņas sistēmu grupās vai kopienās, vēlams bez maksas, atvērtā un / vai drošākā veidā Telegram, Signalizēt, Mastodonts vai cita no Fediverse, vēlams.
Un atcerieties apmeklēt mūsu mājas lapu vietnē «DesdeLinux» izpētīt vairāk jaunumu, kā arī pievienoties mūsu oficiālajam kanālam Telegramma no DesdeLinux. Lai gan, lai iegūtu vairāk informācijas, jūs varat apmeklēt jebkuru Tiešsaistes bibliotēka kā OpenLibra y jedit, lai piekļūtu un lasītu digitālās grāmatas (PDF) par šo vai citām tēmām.