Security Scorecards: wat is het en wat is nieuw in de nieuwe versie 2.0?
Een paar dagen geleden a nieuwe versie 2.0 van het open source-project genaamd "Veiligheidsscorekaarten", een project dat in november 2020 werd gelanceerd door Kopen Google Reviews en Open Source Security Foundation (OpenSSF).
Reden waarom, in deze publicatie zullen we een beetje ingaan op genoemd project en zijn nieuwe versie 2.0, dat heeft nu Verbeterde controles en mogelijkheden om de gegenereerde gegevens te optimaliseren voor verdere analyse.
En aangezien dit project de leiding heeft over de OpenSSF, we zullen onmiddellijk de link van onze . verlaten vorige gerelateerde post mee, zodat indien nodig degenen die meer willen weten over de Stichting er gemakkelijk toegang toe kunnen krijgen:
"De Linux Foundation heeft de oprichting aangekondigd van een nieuw project genaamd "OpenSSF" (Open Source Security Foundation), dat als belangrijkste doel heeft om het werk van marktleiders op het gebied van verbetering van de beveiliging van codesoftware samen te brengen. Hiermee zal OpenSSF doorgaan met het ontwikkelen van initiatieven zoals het Infrastructure Initiative en Open Source Security Coalition (Central Infrastructure Initiative en de Open Source Security Coalition) en zal het ander veiligheidsgerelateerd werk samenbrengen dat wordt uitgevoerd door bedrijven die zich bij het project hebben aangesloten. ." OpenSSF: een project gericht op het verbeteren van de beveiliging van open source software
Beveiligingsscorekaarten: Beveiligingsscorekaarten
Wat zijn beveiligingsscorecards?
Volgens een officiële publicatie van Google Open Source, werd dit project als volgt omschreven:
""Security Scorecards" is een van de eerste projecten die sinds de oprichting in augustus 2020 binnen het OpenSSF-framework zijn gepubliceerd. Het doel ervan is om zelf een "beveiligingsscore" te genereren voor open source-projecten om gebruikers te helpen bij het bepalen van het vertrouwen , risico en beveiligingshouding voor hun gebruiksscenario.
Security Scorecards definieert een eerste evaluatiecriterium dat zal worden gebruikt om op een volledig geautomatiseerde manier een scorecard voor een open source-project te genereren. Elke controle op de scorecard is uitvoerbaar. Enkele van de gebruikte evaluatiestatistieken zijn een goed gedefinieerd beveiligingsbeleid, een codebeoordelingsproces en doorlopende testdekking met statische code-analyse en fuzzing-tools. Een Boolean wordt geretourneerd, evenals een betrouwbaarheidsscore voor elke beveiligingscontrole.
Na verloop van tijd zal Google deze statistieken verbeteren met communitybijdragen via OpenSSF." Beveiligingsscorecards voor open source-projecten
Hoe werken beveiligingsscorekaarten?
Volgens OpenSSF, "Veiligheidsscorekaarten" het werkt als volgt:
Genereer een score kaart voor een open source project op een volledig geautomatiseerde manier. Hoewel de code momenteel alleen werkt met GitHub-softwarebronnen, is de uitbreiding naar andere broncodebronnen in de pijplijn. Verder zijn sommige van de evaluatiestatistieken die worden gebruikt, omvatten een goed gedefinieerd beveiligingsbeleid, een codebeoordelingsproces en doorlopende testdekking met: fuzzing-tools y statische code-analyse.
Daarnaast evalueert het periodiek de kritische open source projecten en onthult de informatie (gegevens) van de controles via een Openbare BigQuery-dataset die wekelijks wordt bijgewerkt. En deze gegevens kunnen ook worden gebruikt om eventuele geautomatiseerde besluitvorming te vergroten wanneer ze worden ingevoerd. nieuwe open source afhankelijkheden binnen projecten of organisaties.
Zo kunnen organisaties beslis meer optimaal Dat elk nieuwe afhankelijkheid met lage scores zou door een moeten gaan aanvullende evaluatie. Deze controles kunnen er dus toe bijdragen dat kwaadwillende afhankelijkheden van implementatie op productiesystemen worden voorkomen.
Om deze informatie uit uw officiële bron (OpenSSF) u kunt het volgende verkennen link.
Wat is er nieuw in versie 2.0
deze nieuwe versie 2.0 is kort daarna uitgebracht Kopen Google Reviews zal een uitgebreid raamwerk presenteren genaamd "Toeleveringsketenlagen voor softwareartefacten" (Supply-chain Levels voor Software Artifacts - SLSA) die tot doel heeft de integriteit van softwareartefacten te waarborgen en ongeoorloofde wijzigingen tijdens hun ontwikkeling en implementatie te voorkomen.
En het omvat in het kort in het algemeen het volgende: nieuws:
- Verbetering van de identificatie van mogelijke bekende risico's.
- Verbeterde detectie van kwaadwillende bijdragers door codebeoordeling door derden te vereisen voordat deze wordt vastgelegd.
- Het perfectioneren van de detectie van kwetsbare code door de implementatie van statische codetests en continue fuzzing.
- Verbetering van de identificatie van kwetsbare afhankelijkheden om mogelijke beveiligingsrisico's te beperken en de meest geschikte beslissingen te nemen om deze te verminderen.
Om in de details van de huidige verbeteringen of functionaliteiten u kunt het volgende verkennen link.
Overzicht
We hopen dit "handige kleine post" op «Security Scorecards», dat is een project gelanceerd door Kopen Google Reviews en Open Source Security Foundation, die onlangs een nieuwe versie 2.0 dat het de controles en mogelijkheden heeft verbeterd om gegenereerde gegevens te optimaliseren voor latere analyse; is van groot belang en nut, voor het hele «Comunidad de Software Libre y Código Abierto» en een grote bijdrage aan de verspreiding van het prachtige, gigantische en groeiende ecosysteem van toepassingen van «GNU/Linux».
Voor nu, als je dit leuk vond publicación, Stop niet deel het met anderen, op uw favoriete websites, kanalen, groepen of gemeenschappen van sociale netwerken of berichtensystemen, bij voorkeur gratis, open en / of veiliger als Telegram, Signaal, Mastodont of een ander van Fediverse, bij voorkeur.
En vergeet niet om onze homepage te bezoeken op «DesdeLinux» om meer nieuws te ontdekken en om lid te worden van ons officiële kanaal van Telegram van DesdeLinux. Terwijl u voor meer informatie een bezoek kunt brengen aan Online bibliotheek als OpenLibra y jedit, om digitale boeken (pdf's) over dit of anderen te openen en te lezen.