Security Scorecards: Hva er det og hva er nytt i den nye versjonen 2.0?

Security Scorecards: Hva er det og hva er nytt i den nye versjonen 2.0?

Security Scorecards: Hva er det og hva er nytt i den nye versjonen 2.0?

For noen dager siden a ny versjon 2.0 fra open source-prosjektet kalt "Security Scorecards", som er et prosjekt som ble lansert i november 2020 av Google og Open Source Security Foundation (OpenSSF).

Av denne grunn vil vi i denne publikasjonen gå nærmere inn på nevnte prosjekt og dets ny versjon 2.0, som nå har Forbedret testing og evner for å optimalisere dataene som genereres for videre analyse.

OpenSSF

Og siden har dette prosjektet ansvaret for OpenSSF, vil vi umiddelbart forlate lenken til vår forrige relaterte innlegg med det, slik at hvis det er nødvendig, kan de som er interessert i å lære mer om stiftelsen lett få tilgang til det:

"Linux Foundation har kunngjort dannelsen av et nytt prosjekt kalt "OpenSSF" (Open Source Security Foundation), som har som hovedmål å samle arbeidet til bransjeledere innen forbedring av kodeprogramvaresikkerhet. Med dette vil OpenSSF fortsette å utvikle initiativer som Infrastructure Initiative og Open Source Security Coalition (Central Infrastructure Initiative and the Open Source Security Coalition) og vil samle annet sikkerhetsrelatert arbeid som utføres av selskaper som har sluttet seg til prosjektet ..." OpenSSF: et prosjekt med fokus på å forbedre sikkerheten til programvare med åpen kildekode

OpenSSF
Relatert artikkel:
OpenSSF: et prosjekt med fokus på å forbedre sikkerheten til programvare med åpen kildekode
Sigstore: Prosjekt for å forbedre forsyningskjeden med åpen kildekode
Relatert artikkel:
Sigstore: Prosjekt for å forbedre forsyningskjeden med åpen kildekode

Security Scorecards: Security Scorecards

Security Scorecards: Security Scorecards

Hva er Security Scorecards?

I følge en offisiell publikasjon av Google Open Sourceble dette prosjektet beskrevet som følger:

""Security Scorecards" er et av de første prosjektene som publiseres innenfor OpenSSF-rammen siden oppstarten i august 2020. Målet er å selvgenere en "sikkerhetspoeng" for open source-prosjekter for å hjelpe brukere med å bestemme tilliten, risikoen og sikkerhetsstilling for brukssaken.

Security Scorecards definerer et innledende evalueringskriterium som skal brukes til å generere et scorecard for et open source-prosjekt på en helautomatisk måte. Hver sjekk på scorekortet er handlingsbar. Noen av evalueringsmålingene som brukes, inkluderer en veldefinert sikkerhetspolicy, en kodegjennomgangsprosess og pågående testdekning med statisk kodeanalyse og fuzzing-verktøy. En boolsk tilbakelevering samt en tillitspoeng for hver sikkerhetskontroll.

Over tid vil Google forbedre disse beregningene med bidrag fra fellesskapet gjennom OpenSSF." Sikkerhetskort for åpen kildekode-prosjekter

Hvordan fungerer Security Scorecards?

Ifølge OpenSSF"Security Scorecards" det fungerer som følger:

Generer en poengkort for et åpen kildekodeprosjekt på en helautomatisk måte. Selv om koden for tiden bare fungerer med GitHub programvarelager, utvidelsen til andre kildekodelagre er i røret. Videre er noen av de evalueringsberegninger brukt inkluderer en veldefinert sikkerhetspolicy, en kodegjennomgangsprosess og løpende testdekning med fuzzing verktøy y statisk kodeanalyse.

I tillegg evaluerer den med jevne mellomrom kritiske open source-prosjekter og avslører informasjonen (data) om kontrollene gjennom a BigQuery offentlige datasett som oppdateres ukentlig. Og disse dataene kan også brukes til å øke enhver automatisert beslutningstaking når de legges inn. nye avhengigheter med åpen kildekode innenfor prosjekter eller organisasjoner.

Dermed kunne organisasjoner bestem mer optimalt At noen ny avhengighet med lave score skal gå gjennom en tilleggsevaluering. Så disse kontrollene kan bidra til å redusere ondsinnede avhengigheter fra å bli distribuert på produksjonssystemer.

For å utvide denne informasjonen fra din offisiell kilde (OpenSSF) kan du utforske følgende link.

Hva er nytt i versjon 2.0

Dette ny versjon 2.0 har blitt løslatt kort tid etter Google vil presentere et omfattende rammeverk kalt "Nivåer i forsyningskjeder for gjenstander av programvare" (Forsyningskjedenivåer for programvareartefakter - SLSA) som søker å sikre integriteten til programvareartefakter og forhindre uautoriserte modifikasjoner under utviklingen og implementeringen.

Og det inkluderer kort på en generell måte følgende nye:

  1. Forbedring i identifiseringen av mulige kjente risikoer.
  2. Styrket deteksjon av ondsinnede bidragsytere ved å kreve tredjepartskode gjennomgang før de begås.
  3. Perfeksjonerer påvisning av sårbar kode gjennom implementering av tester med statisk kode og kontinuerlig uklarhet.
  4. Forbedring i identifiseringen av sårbare avhengigheter for å redusere mulige sikkerhetsrisikoer og tillate å ta de mest hensiktsmessige avgjørelsene for å redusere dem.

Å fordype seg i detaljene i nåværende forbedringer eller funksjoner kan du utforske følgende link.

Sammendrag: Ulike publikasjoner

Oppsummering

Vi håper dette "nyttig lite innlegg"«Security Scorecards», som er et prosjekt lansert av Google og Open Source Security Foundation, som nylig ga ut en ny versjon 2.0 at den har forbedret testing og evner til å optimalisere genererte data for videre analyse; er av stor interesse og nytte, for hele «Comunidad de Software Libre y Código Abierto» og med stort bidrag til spredningen av det fantastiske, gigantiske og voksende økosystemet med applikasjoner av «GNU/Linux».

For nå, hvis du likte dette publicación, Ikke stopp del det med andre på dine favorittnettsteder, kanaler, grupper eller fellesskap av sosiale nettverk eller meldingssystemer, helst gratis, åpent og / eller sikrere som TelegramSignalМастодон eller en annen av Fediverse, helst.

Og husk å besøke hjemmesiden vår kl «DesdeLinux» for å utforske flere nyheter, samt bli med på vår offisielle kanal Telegram av DesdeLinuxMens du kan besøke hvilken som helst for mer informasjon Nettbibliotek som OpenLibra y jedit, for å få tilgang til og lese digitale bøker (PDF-filer) om dette emnet eller andre.


Bli den første til å kommentere

Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.