Scorecards de segurança: O que é e o que há de novo em sua nova versão 2.0?
Alguns dias atrás, um nova versão 2.0 do projeto de código aberto chamado "Scorecards de Segurança", que é um projeto que foi lançado em novembro de 2020 por Google e a Open Source Security Foundation (OpenSSF).
Por isso, nesta publicação vamos nos aprofundar um pouco sobre o referido projeto e seus nova versão 2.0, que agora tem Testes e recursos aprimorados para otimizar os dados gerados para análise posterior.
E uma vez que este projeto está a cargo do OpenSSFGenericName, vamos sair imediatamente do link do nosso postagem relacionada anterior com ele, para que, se necessário, os interessados em saber mais sobre a referida Fundação possam acessá-lo facilmente:
"A Linux Foundation anunciou a formação de um novo projeto denominado "OpenSSF" (Open Source Security Foundation) que tem como principal objetivo reunir o trabalho dos líderes da indústria na área de aprimoramento de segurança de software de código. Com isso, a OpenSSF continuará a desenvolver iniciativas como a Infrastructure Initiative e Open Source Security Coalition (Central Infrastructure Initiative e a Open Source Security Coalition) e reunirá outros trabalhos relacionados à segurança que estão sendo realizados pelas empresas que aderiram ao projeto. ." OpenSSF: um projeto focado em melhorar a segurança de software de código aberto
Cartões de pontuação de segurança: cartões de pontuação de segurança
O que são scorecards de segurança?
De acordo com um publicação oficial do Google Open Source, este projeto foi descrito da seguinte forma:
""Security Scorecards" é um dos primeiros projetos a serem publicados dentro da estrutura OpenSSF desde seu início em agosto de 2020. O objetivo é auto-gerar uma "pontuação de segurança" para projetos de código aberto para ajudar os usuários a decidir a confiança, risco e postura de segurança para seu caso de uso.
Security Scorecards define um critério de avaliação inicial que será usado para gerar um scorecard para um projeto de código aberto de uma forma totalmente automatizada. Cada verificação no scorecard é acionável. Algumas das métricas de avaliação usadas incluem uma política de segurança bem definida, um processo de revisão de código e cobertura de teste contínuo com ferramentas de difusão e análise estática de código. Um booleano é retornado, bem como uma pontuação de confiança para cada verificação de segurança.
Com o tempo, o Google aprimorará essas métricas com contribuições da comunidade por meio do OpenSSF." Scorecards de segurança para projetos de código aberto
Como funcionam os Scorecards de Segurança?
Conforme OpenSSFGenericName, "Scorecards de Segurança" funciona da seguinte maneira:
Gere um tabela de desempenho para um projeto de código aberto de forma totalmente automatizada. Embora, atualmente, o código só funciona com Repositórios de software GitHub, sua expansão para outros repositórios de código-fonte está em andamento. Além disso, alguns dos métricas de avaliação usados incluem uma política de segurança bem definida, um processo de revisão de código e cobertura de teste contínuo com ferramentas de fuzzing y análise de código estático.
Além disso, avalia periodicamente o projetos críticos de código aberto e expõe as informações (dados) das verificações por meio de um Conjunto de dados públicos do BigQuery que é atualizado semanalmente. E esses dados também podem ser usados para aumentar qualquer tomada de decisão automatizada quando inseridos. novas dependências de código aberto dentro de projetos ou organizações.
Assim, as organizações poderiam decidir de forma mais otimizada Que qualquer nova dependência com pontuações baixas deve passar por um avaliação adicional. Portanto, essas verificações podem ajudar a evitar que dependências maliciosas sejam implantadas em sistemas de produção.
Para expandir esta informação de seu fonte oficial (OpenSSF) você pode explorar o seguinte link.
O que há de novo na versão 2.0
Esta nova versão 2.0 foi lançado logo depois Google apresentará uma estrutura abrangente chamada "Camadas da cadeia de suprimentos para artefatos de software" (Níveis da cadeia de suprimentos para artefatos de software - SLSA) que visa garantir a integridade dos artefatos de software e evitar modificações não autorizadas durante o seu desenvolvimento e implementação.
E inclui resumidamente de uma forma geral o seguinte novos produtos:
- Melhoria na identificação de possíveis riscos conhecidos.
- Detecção reforçada de contribuidores maliciosos por meio da revisão obrigatória de código de terceiros antes da confirmação.
- Aperfeiçoar a detecção de código vulnerável por meio da implementação de testes de código estático e difusão contínua.
- Melhoria na identificação de dependências vulneráveis para mitigar possíveis riscos de segurança e permitir a tomada de decisões mais adequadas para a sua mitigação.
Para mergulhar nos detalhes do melhorias ou funcionalidades atuais você pode explorar o seguinte link.
Resumo
Nós esperamos isso "postinho útil" em «Security Scorecards», que é um projeto lançado por Google e a Open Source Security Foundation, que recentemente lançou um nova versão 2.0 que melhorou verificações e recursos para otimizar os dados gerados para análise posterior; é de grande interesse e utilidade, para todo o «Comunidad de Software Libre y Código Abierto» e de grande contribuição para a difusão do maravilhoso, gigantesco e crescente ecossistema de aplicações de «GNU/Linux».
Por enquanto, se você gostou disso publicación, Não pare Compartilhe com outras pessoas, nos seus sites, canais, grupos ou comunidades de redes sociais ou sistemas de mensagens preferidos, de preferência gratuitos, abertos e / ou mais seguros como Telegram, Signal, Mastodonte ou outro de Fediverse, preferencialmente.
E lembre-se de visitar nossa página inicial em «DesdeLinux» para explorar mais novidades, bem como aderir ao nosso canal oficial de Telegrama de DesdeLinux. Embora, para obter mais informações, você pode visitar qualquer Biblioteca online como OpenLibra y jedit, para acessar e ler livros digitais (PDFs) sobre este assunto ou outros.