Security Scorecards: Co to jest i co nowego w nowej wersji 2.0?
Kilka dni temu nowa wersja 2.0 z projektu open source o nazwie „Karty wyników bezpieczeństwa”, czyli projekt, który został uruchomiony w listopadzie 2020 r. przez Google i Fundacja Bezpieczeństwa Open Source (OpenSSF).
Z tego powodu w tej publikacji zagłębimy się nieco głębiej we wspomniany projekt i jego nowa wersja 2.0, to teraz ma Ulepszone testowanie i możliwości w celu optymalizacji wygenerowanych danych do dalszej analizy.
A ponieważ ten projekt jest odpowiedzialny za OtwórzSSF, natychmiast zostawimy link do naszego poprzedni powiązany post z nim, aby w razie potrzeby osoby zainteresowane dodatkowymi informacjami na temat wspomnianej Fundacji miały do niej łatwy dostęp:
"Linux Foundation ogłosiła utworzenie nowego projektu o nazwie "OpenSSF" (Open Source Security Foundation), którego głównym celem jest połączenie pracy liderów branży w dziedzinie poprawy bezpieczeństwa oprogramowania kodu. Dzięki temu OpenSSF będzie nadal rozwijać inicjatywy, takie jak Infrastructure Initiative i Open Source Security Coalition (Central Infrastructure Initiative i Open Source Security Coalition) oraz łączyć inne prace związane z bezpieczeństwem prowadzone przez firmy, które przystąpiły do projektu ..." OpenSSF: projekt skupiony na poprawie bezpieczeństwa oprogramowania open source
Karty wyników bezpieczeństwa: Karty wyników bezpieczeństwa
Co to są karty wyników bezpieczeństwa?
Według oficjalna publikacja Google Open Source, projekt ten został opisany w następujący sposób:
"„Security Scorecards” to jeden z pierwszych projektów opublikowanych w ramach OpenSSF od czasu jego powstania w sierpniu 2020 r. Celem jest samodzielne wygenerowanie „wyniku bezpieczeństwa” dla projektów open source, aby pomóc Użytkownikom zdecydować o zaufaniu, ryzyku i postawa bezpieczeństwa dla ich przypadku użycia.
Security Scorecards definiują wstępne kryteria oceny, które zostaną użyte do wygenerowania karty wyników dla projektu open source w sposób w pełni zautomatyzowany. Każda kontrola na karcie wyników jest wykonalna. Niektóre z używanych metryk oceny obejmują dobrze zdefiniowaną politykę bezpieczeństwa, proces przeglądu kodu oraz pokrycie bieżących testów za pomocą statycznej analizy kodu i narzędzi do fuzzingu. Zwracana jest wartość logiczna oraz ocena zaufania dla każdej kontroli bezpieczeństwa.
Z czasem Google poprawi te wskaźniki dzięki wkładowi społeczności za pośrednictwem OpenSSF." Karty wyników bezpieczeństwa dla projektów open source
Jak działają karty wyników bezpieczeństwa?
Według OtwórzSSF, „Karty wyników bezpieczeństwa” działa w następujący sposób:
Wygeneruj plik karta z punktami dla projektu open source w pełni zautomatyzowany sposób. Chociaż obecnie kod działa tylko z Repozytoria oprogramowania GitHub, jego rozszerzenie do innych repozytoriów kodu źródłowego jest w przygotowaniu. Ponadto niektóre z metryki oceny stosowane obejmują dobrze zdefiniowaną politykę bezpieczeństwa, proces przeglądu kodu i pokrycie bieżących testów z narzędzia do rozmycia y statyczna analiza kodu.
Ponadto okresowo ocenia krytyczne projekty open source i ujawnia informacje (dane) z kontroli poprzez Publiczny zbiór danych BigQuery który jest aktualizowany co tydzień. Dane te mogą być również wykorzystywane do wspomagania automatycznego podejmowania decyzji po ich wprowadzeniu. nowe zależności open source w ramach projektów lub organizacji.
W ten sposób organizacje mogły: decydować bardziej optymalnie To wszystko nowa zależność z niskie wyniki powinien przejść przez dodatkowa ocena. Dlatego te kontrole mogą pomóc złagodzić złośliwe zależności wynikające z wdrażania w systemach produkcyjnych.
Aby rozszerzyć te informacje z twojego oficjalne źródło (OpenSSF) możesz zbadać następujące kwestie powiązanie.
Co nowego w wersji 2.0
To nowa wersja 2.0 został wydany wkrótce po Google przedstawi kompleksowy framework o nazwie „Warstwy łańcucha dostaw dla artefaktów oprogramowania” (Poziomy łańcucha dostaw dla artefaktów oprogramowania — SLSA) która ma na celu zapewnienie integralności artefaktów oprogramowania i zapobieganie nieautoryzowanym modyfikacjom podczas ich opracowywania i wdrażania.
I pokrótce obejmuje w ogólny sposób następujące: nowy:
- Poprawa identyfikacji możliwych znanych zagrożeń.
- Wzmocniono wykrywanie złośliwych współtwórców, wymagając sprawdzenia kodu przez stronę trzecią przed zatwierdzeniem.
- Udoskonalenie wykrywania podatnego kodu poprzez implementację statycznych testów kodu i ciągłe fuzzing.
- Poprawa w identyfikacji wrażliwych zależności w celu złagodzenia możliwych zagrożeń bezpieczeństwa i umożliwienia podejmowania najbardziej odpowiednich decyzji w celu ich złagodzenia.
Aby zagłębić się w szczegóły aktualne ulepszenia lub funkcjonalności możesz zbadać następujące kwestie powiązanie.
streszczenie
Mamy taką nadzieję "pomocny mały post" na «Security Scorecards», czyli Projekt uruchomiony przez Google i Fundacja Bezpieczeństwa Open Source, który niedawno wydał a nowa wersja 2.0 że ma ulepszone testy i możliwości optymalizacji generowanych danych do dalszej analizy; jest bardzo interesujące i użyteczne dla całego utility «Comunidad de Software Libre y Código Abierto» i ma wielki wkład w rozprzestrzenianie się wspaniałego, gigantycznego i rosnącego ekosystemu zastosowań «GNU/Linux».
Na razie, jeśli to lubisz publicación, Nie przestawaj udostępnij to z innymi osobami w ulubionych witrynach internetowych, kanałach, grupach lub społecznościach sieci społecznościowych lub systemach przesyłania wiadomości, najlepiej bezpłatnych, otwartych i / lub bezpieczniejszych, jak Telegram, Signal, Mastodont lub inny z Fediversenajlepiej.
I pamiętaj, aby odwiedzić naszą stronę główną pod adresem «DesdeLinux» aby poznać więcej wiadomości, a także dołączyć do naszego oficjalnego kanału Telegram z DesdeLinux. Aby uzyskać więcej informacji, możesz odwiedzić dowolne Biblioteka online jako OpenLibra y Jedit, aby uzyskać dostęp do książek cyfrowych (PDF) na ten lub inny temat i czytać je.