Security Scorecards: Co to jest i co nowego w nowej wersji 2.0?

Security Scorecards: Co to jest i co nowego w nowej wersji 2.0?

Security Scorecards: Co to jest i co nowego w nowej wersji 2.0?

Kilka dni temu nowa wersja 2.0 z projektu open source o nazwie „Karty wyników bezpieczeństwa”, czyli projekt, który został uruchomiony w listopadzie 2020 r. przez Google i Fundacja Bezpieczeństwa Open Source (OpenSSF).

Z tego powodu w tej publikacji zagłębimy się nieco głębiej we wspomniany projekt i jego nowa wersja 2.0, to teraz ma Ulepszone testowanie i możliwości w celu optymalizacji wygenerowanych danych do dalszej analizy.

OpenSSF

A ponieważ ten projekt jest odpowiedzialny za OpenSSF, natychmiast zostawimy link do naszego poprzedni powiązany post z nim, aby w razie potrzeby osoby zainteresowane dodatkowymi informacjami na temat wspomnianej Fundacji miały do ​​niej łatwy dostęp:

"Linux Foundation ogłosiła utworzenie nowego projektu o nazwie "OpenSSF" (Open Source Security Foundation), którego głównym celem jest połączenie pracy liderów branży w dziedzinie poprawy bezpieczeństwa oprogramowania kodu. Dzięki temu OpenSSF będzie nadal rozwijać inicjatywy, takie jak Infrastructure Initiative i Open Source Security Coalition (Central Infrastructure Initiative i Open Source Security Coalition) oraz łączyć inne prace związane z bezpieczeństwem prowadzone przez firmy, które przystąpiły do ​​projektu ..." OpenSSF: projekt skupiony na poprawie bezpieczeństwa oprogramowania open source

Podobne artykuł:
OpenSSF: projekt skupiony na poprawie bezpieczeństwa oprogramowania open source

Podobne artykuł:
Sigstore: Projekt poprawy łańcucha dostaw open source

Karty wyników bezpieczeństwa: Karty wyników bezpieczeństwa

Karty wyników bezpieczeństwa: Karty wyników bezpieczeństwa

Co to są karty wyników bezpieczeństwa?

Według oficjalna publikacja Google Open Source, projekt ten został opisany w następujący sposób:

"„Security Scorecards” to jeden z pierwszych projektów opublikowanych w ramach OpenSSF od czasu jego powstania w sierpniu 2020 r. Celem jest samodzielne wygenerowanie „wyniku bezpieczeństwa” dla projektów open source, aby pomóc Użytkownikom zdecydować o zaufaniu, ryzyku i postawa bezpieczeństwa dla ich przypadku użycia.

Security Scorecards definiują wstępne kryteria oceny, które zostaną użyte do wygenerowania karty wyników dla projektu open source w sposób w pełni zautomatyzowany. Każda kontrola na karcie wyników jest wykonalna. Niektóre z używanych metryk oceny obejmują dobrze zdefiniowaną politykę bezpieczeństwa, proces przeglądu kodu oraz pokrycie bieżących testów za pomocą statycznej analizy kodu i narzędzi do fuzzingu. Zwracana jest wartość logiczna oraz ocena zaufania dla każdej kontroli bezpieczeństwa.

Z czasem Google poprawi te wskaźniki dzięki wkładowi społeczności za pośrednictwem OpenSSF." Karty wyników bezpieczeństwa dla projektów open source

Jak działają karty wyników bezpieczeństwa?

Według OpenSSF„Karty wyników bezpieczeństwa” działa w następujący sposób:

Wygeneruj plik karta z punktami dla projektu open source w pełni zautomatyzowany sposób. Chociaż obecnie kod działa tylko z Repozytoria oprogramowania GitHub, jego rozszerzenie do innych repozytoriów kodu źródłowego jest w przygotowaniu. Ponadto niektóre z metryki oceny stosowane obejmują dobrze zdefiniowaną politykę bezpieczeństwa, proces przeglądu kodu i pokrycie bieżących testów z narzędzia do rozmycia y statyczna analiza kodu.

Ponadto okresowo ocenia krytyczne projekty open source i ujawnia informacje (dane) z kontroli poprzez Publiczny zbiór danych BigQuery który jest aktualizowany co tydzień. Dane te mogą być również wykorzystywane do wspomagania automatycznego podejmowania decyzji po ich wprowadzeniu. nowe zależności open source w ramach projektów lub organizacji.

W ten sposób organizacje mogły: decydować bardziej optymalnie To wszystko nowa zależność z niskie wyniki powinien przejść przez dodatkowa ocena. Dlatego te kontrole mogą pomóc złagodzić złośliwe zależności wynikające z wdrażania w systemach produkcyjnych.

Aby rozszerzyć te informacje z twojego oficjalne źródło (OpenSSF) możesz zbadać następujące kwestie powiązanie.

Co nowego w wersji 2.0

To nowa wersja 2.0 został wydany wkrótce po Google przedstawi kompleksowy framework o nazwie „Warstwy łańcucha dostaw dla artefaktów oprogramowania” (Poziomy łańcucha dostaw dla artefaktów oprogramowania — SLSA) która ma na celu zapewnienie integralności artefaktów oprogramowania i zapobieganie nieautoryzowanym modyfikacjom podczas ich opracowywania i wdrażania.

I pokrótce obejmuje w ogólny sposób następujące: nowy:

  1. Poprawa identyfikacji możliwych znanych zagrożeń.
  2. Wzmocniono wykrywanie złośliwych współtwórców, wymagając sprawdzenia kodu przez stronę trzecią przed zatwierdzeniem.
  3. Udoskonalenie wykrywania podatnego kodu poprzez implementację statycznych testów kodu i ciągłe fuzzing.
  4. Poprawa w identyfikacji wrażliwych zależności w celu złagodzenia możliwych zagrożeń bezpieczeństwa i umożliwienia podejmowania najbardziej odpowiednich decyzji w celu ich złagodzenia.

Aby zagłębić się w szczegóły aktualne ulepszenia lub funkcjonalności możesz zbadać następujące kwestie powiązanie.

Podsumowanie: Różne publikacje

streszczenie

Mamy taką nadzieję "pomocny mały post" na «Security Scorecards», czyli Projekt uruchomiony przez Google i Fundacja Bezpieczeństwa Open Source, który niedawno wydał a nowa wersja 2.0 że ma ulepszone testy i możliwości optymalizacji generowanych danych do dalszej analizy; jest bardzo interesujące i użyteczne dla całego utility «Comunidad de Software Libre y Código Abierto» i ma wielki wkład w rozprzestrzenianie się wspaniałego, gigantycznego i rosnącego ekosystemu zastosowań «GNU/Linux».

Na razie, jeśli to lubisz publicación, Nie przestawaj udostępnij to z innymi osobami w ulubionych witrynach internetowych, kanałach, grupach lub społecznościach sieci społecznościowych lub systemach przesyłania wiadomości, najlepiej bezpłatnych, otwartych i / lub bezpieczniejszych, jak TelegramSygnałMastodont lub inny z Fediversenajlepiej.

I pamiętaj, aby odwiedzić naszą stronę główną pod adresem «FromLinux» aby poznać więcej wiadomości, a także dołączyć do naszego oficjalnego kanału Telegram od FromLinuxAby uzyskać więcej informacji, możesz odwiedzić dowolne Biblioteka online jako OpenLibra y JedIT, aby uzyskać dostęp do książek cyfrowych (PDF) na ten lub inny temat i czytać je.


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.