Kad Skor Keselamatan: Apa itu dan apa yang baru dalam versi baru 2.0?
Beberapa hari yang lalu a versi baru 2.0 dari projek sumber terbuka yang dipanggil "Kad Skor Keselamatan", yang merupakan projek yang dilancarkan pada November 2020 oleh Google dan Yayasan Keselamatan Sumber Terbuka (OpenSSF).
Atas sebab ini, dalam penerbitan ini kita akan membahas sedikit lebih mendalam mengenai projek tersebut dan projeknya versi baru 2.0, yang kini ada Pengujian dan keupayaan yang dipertingkatkan untuk mengoptimumkan data yang dihasilkan untuk analisis lebih lanjut.
Dan kerana projek ini bertugas di OpenSSF, kami akan segera meninggalkan pautan kami jawatan berkaitan sebelumnya dengannya, jika perlu, mereka yang berminat untuk mengetahui lebih lanjut mengenai Yayasan tersebut dapat mengaksesnya dengan mudah:
"Linux Foundation telah mengumumkan pembentukan sebuah proyek baru yang disebut "OpenSSF" (Open Source Security Foundation) yang mempunyai objektif utamanya untuk menyatukan karya pemimpin industri dalam bidang peningkatan keselamatan perisian kod. Dengan ini, OpenSSF akan terus mengembangkan inisiatif seperti Infrastruktur Initiative dan Open Source Security Coalition (Central Infrastructure Initiative dan Open Source Security Coalition) dan akan menyatukan kerja-kerja lain yang berkaitan dengan keselamatan yang dilakukan oleh syarikat-syarikat yang telah menyertai projek ini ." OpenSSF: projek yang difokuskan untuk meningkatkan keselamatan perisian sumber terbuka
Kad Skor Keselamatan: Kad Skor Keselamatan
Apa itu Kad Skor Keselamatan?
Menurut a penerbitan rasmi Sumber Terbuka Google, projek ini dijelaskan sebagai berikut:
""Security Scorecards" adalah salah satu projek pertama yang diterbitkan dalam kerangka OpenSSF sejak penubuhannya pada bulan Ogos 2020. Tujuannya adalah untuk menghasilkan sendiri "skor keselamatan" untuk projek sumber terbuka untuk membantu pengguna memutuskan kepercayaan, risiko, dan postur keselamatan untuk kes penggunaannya.
Security Scorecards menentukan kriteria penilaian awal yang akan digunakan untuk menghasilkan kad skor untuk projek sumber terbuka dengan cara sepenuhnya automatik. Setiap pemeriksaan pada kad skor dapat dilaksanakan. Beberapa metrik penilaian yang digunakan merangkumi dasar keselamatan yang jelas, proses tinjauan kod, dan liputan pengujian berterusan dengan alat kabur dan analisis kod statik. Boolean dikembalikan serta skor keyakinan untuk setiap pemeriksaan keselamatan.
Dari masa ke masa, Google akan meningkatkan metrik ini dengan sumbangan komuniti melalui OpenSSF." Kad skor keselamatan untuk projek sumber terbuka
Bagaimana kad skor keselamatan berfungsi?
Menurut OpenSSF, "Kad Skor Keselamatan" ia berfungsi seperti berikut:
Menjana a kad skor untuk projek sumber terbuka secara automatik sepenuhnya. Walaupun, pada masa ini kod hanya berfungsi dengan Repositori perisian GitHub, pengembangannya ke repositori kod sumber lain sedang dalam proses. Selanjutnya, sebahagian daripada sukatan penilaian yang digunakan merangkumi dasar keselamatan yang jelas, proses tinjauan kod, dan liputan ujian berterusan dengan alat kabur y analisis kod statik.
Di samping itu, ia secara berkala menilai projek sumber terbuka yang kritikal dan mendedahkan maklumat (data) pemeriksaan melalui a Set data awam BigQuery yang dikemas kini setiap minggu. Dan data ini juga dapat digunakan untuk menambah pengambilan keputusan automatik ketika dimasukkan. kebergantungan sumber terbuka baru dalam projek atau organisasi.
Oleh itu, organisasi dapat membuat keputusan dengan lebih optimum Itu pun kebergantungan baru dengan skor rendah harus melalui a penilaian tambahan. Oleh itu, pemeriksaan ini dapat membantu mengurangkan pergantungan berbahaya daripada digunakan pada sistem pengeluaran.
Untuk mengembangkan maklumat ini dari anda sumber rasmi (OpenSSF) anda boleh meneroka perkara berikut link.
Apa yang baru dalam versi 2.0
ini versi baru 2.0 telah dibebaskan tidak lama kemudian Google akan membentangkan kerangka komprehensif yang disebut "Tahap rantaian bekalan untuk artifak perisian" (Tahap rantaian bekalan untuk Artifak Perisian - SLSA) yang bertujuan untuk memastikan integriti artifak perisian dan mencegah pengubahsuaian tanpa kebenaran semasa pembangunan dan pelaksanaannya.
Dan secara ringkas merangkumi perkara berikut baru:
- Penambahbaikan dalam mengenal pasti risiko yang mungkin diketahui.
- Memperkukuhkan pengesanan penyumbang berbahaya dengan memerlukan semakan kod pihak ketiga sebelum melakukan.
- Menyempurnakan pengesanan kod rentan melalui pelaksanaan ujian kod statik dan pembusukan berterusan.
- Peningkatan dalam pengenalpastian kebergantungan rentan untuk mengurangkan kemungkinan risiko keselamatan dan memungkinkan membuat keputusan yang paling tepat untuk pengurangannya.
Untuk menyelidiki perincian dari peningkatan atau fungsi semasa anda boleh meneroka perkara berikut link.
Ringkasan
Kami harap ini "jawatan kecil yang berguna" pada «Security Scorecards», yang merupakan Projek yang dilancarkan oleh Google dan Yayasan Keselamatan Sumber Terbuka, yang baru-baru ini mengeluarkan a versi baru 2.0 bahawa ia telah meningkatkan pengujian dan keupayaan untuk mengoptimumkan data yang dihasilkan untuk analisis lebih lanjut; sangat menarik dan bermanfaat, untuk keseluruhannya «Comunidad de Software Libre y Código Abierto» dan memberi sumbangan besar kepada penyebaran ekosistem aplikasi yang hebat, raksasa dan berkembang «GNU/Linux».
Buat masa ini, jika anda menyukai ini publicación, Jangan berhenti kongsi dengan orang lain, di laman web, saluran, kumpulan atau komuniti rangkaian sosial atau sistem pesanan kegemaran anda, lebih baik percuma, terbuka dan / atau lebih selamat seperti Telegram, Isyarat, Mastodon atau yang lain dari Fediverse, lebih baik.
Dan ingat untuk mengunjungi laman utama kami di «DesdeLinux» untuk meneroka lebih banyak berita, serta menyertai saluran rasmi kami Telegram daripada DesdeLinux. Walaupun, untuk maklumat lebih lanjut, anda boleh mengunjungi mana-mana Perpustakaan dalam talian sebagai OpenLibra y jedit, untuk mengakses dan membaca buku digital (PDF) mengenai topik ini atau yang lain.