Security Scorecards: Ce este și ce este nou în noua sa versiune 2.0?

Security Scorecards: Ce este și ce este nou în noua sa versiune 2.0?

Security Scorecards: Ce este și ce este nou în noua sa versiune 2.0?

Acum câteva zile a versiune nouă 2.0 din proiectul open source numit „Scorecards de securitate”, care este un proiect lansat în noiembrie 2020 de Google şi Open Source Security Foundation (OpenSSF).

Din acest motiv, în această publicație vom aprofunda puțin mai mult asupra proiectului menționat și a acestuia versiune nouă 2.0, că acum are Verificări și capacități îmbunătățite pentru a optimiza datele generate pentru analize ulterioare.

OpenSSF

Și, din moment ce, acest proiect este responsabil de OpenSSF, vom lăsa imediat link-ul nostru post asociat anterior împreună cu acesta, astfel încât, dacă este necesar, cei interesați să afle mai multe despre Fundația menționată să o poată accesa cu ușurință:

Fundația Linux a anunțat formarea unui nou proiect numit "OpenSSF" (Open Source Security Foundation) care are ca principal obiectiv reunirea activității liderilor din industrie în domeniul îmbunătățirii securității software-ului de cod. Cu aceasta, OpenSSF va continua să dezvolte inițiative precum Infrastructure Initiative și Open Source Security Coalition (Central Infrastructure Initiative și Open Source Security Coalition) și va reuni alte activități legate de securitate efectuate de companiile care s-au alăturat proiectului. .Matei 22:21 OpenSSF: un proiect axat pe îmbunătățirea securității software-ului open source

Articol asociat:
OpenSSF: un proiect axat pe îmbunătățirea securității software-ului open source

Articol asociat:
Sigstore: Proiect de îmbunătățire a lanțului de aprovizionare open source

Security Scorecards: Security Scorecards

Security Scorecards: Security Scorecards

Ce este Scorecard-urile de securitate?

Potrivit unui publicație oficială a Google Open Source, acest proiect a fost descris după cum urmează:

„Security Scorecards” este unul dintre primele proiecte care au fost publicate în cadrul OpenSSF de la înființarea sa în august 2020. Scopul este auto-generarea unui „scor de securitate” pentru proiectele open source pentru a ajuta utilizatorii să decidă încrederea, riscul și postura de securitate pentru cazul lor de utilizare.

Security Scorecards definește un criteriu de evaluare inițială care va fi utilizat pentru a genera un scorecard pentru un proiect open source într-un mod complet automatizat. Fiecare verificare pe tabloul de bord poate fi acționată. Unele dintre valorile de evaluare utilizate includ o politică de securitate bine definită, un proces de revizuire a codului și o acoperire continuă a testelor cu instrumente de analiză statică a codului și fuzzing. Se returnează un boolean, precum și un scor de încredere pentru fiecare verificare de securitate.

În timp, Google va îmbunătăți aceste valori cu contribuțiile comunității prin OpenSSF.Matei 22:21 Scorecards de securitate pentru proiectele open source

Cum funcționează scorecards-urile de securitate?

În conformitate cu OpenSSF„Scorecards de securitate” funcționează după cum urmează:

Generați un card de scor pentru un proiect open source într-un mod complet automatizat. Deși, în prezent, codul funcționează numai cu Depozite software GitHub, extinderea sa către alte depozite de cod sursă este în curs de desfășurare. În plus, unele dintre valori de evaluare utilizate includ o politică de securitate bine definită, un proces de revizuire a codului și o acoperire continuă a testelor cu instrumente de fuzzing y analiza statică a codului.

În plus, evaluează periodic proiecte critice open source și expune informațiile (datele) verificărilor printr-un Set de date public BigQuery care se actualizează săptămânal. Și aceste date pot fi, de asemenea, utilizate pentru a spori orice decizie automată atunci când sunt introduse. noi dependențe open source în cadrul proiectelor sau organizațiilor.

Astfel, organizațiile ar putea decide mai optim Că oricare nouă dependență cu scoruri mici ar trebui să treacă printr-un evaluare suplimentară. Deci, aceste verificări ar putea ajuta la atenuarea dependențelor rău intenționate de la implementarea pe sistemele de producție.

Pentru a extinde aceste informații din sursă oficială (OpenSSF) puteți explora următoarele legătură.

Noutăți în versiunea 2.0

acest versiune nouă 2.0 a fost eliberat la scurt timp după aceea Google va prezenta un cadru cuprinzător numit „Nivelurile lanțului de aprovizionare pentru artefacte software” (Nivelurile lanțului de aprovizionare pentru artefacte software - SLSA) care urmărește să asigure integritatea artefactelor software și să prevină modificările neautorizate în timpul dezvoltării și implementării acestora.

Și cuprinde pe scurt, în general, următoarele nou:

  1. Îmbunătățirea identificării posibilelor riscuri cunoscute.
  2. Consolidarea detectării contribuabililor rău intenționați prin necesitatea revizuirii codului terță parte înainte de comitere.
  3. Perfecționarea detectării codului vulnerabil prin implementarea testelor de cod static și fuzzing continuu.
  4. Îmbunătățirea identificării dependențelor vulnerabile pentru a atenua posibilele riscuri de securitate și a permite luarea deciziilor cele mai adecvate pentru atenuarea acestora.

Pentru a aprofunda detaliile îmbunătățiri actuale sau funcționalități puteți explora următoarele legătură.

Rezumat: diverse publicații

Rezumat

Sperăm acest lucru puțină postare utilăMatei 22:21 pe «Security Scorecards», care este un proiect lansat de Google şi Open Source Security Foundation, care a lansat recent un versiune nouă 2.0 că are teste și capacități îmbunătățite pentru optimizarea datelor generate pentru o analiză ulterioară; este de mare interes și utilitate, pentru întreg «Comunidad de Software Libre y Código Abierto» și de o mare contribuție la difuzarea minunatului, gigantului și creșterii ecosistemului de aplicații al «GNU/Linux».

Deocamdată, dacă ți-a plăcut asta publicación, Nu te opri împărtășește-l cu alții, pe site-urile, canalele, grupurile sau comunitățile dvs. preferate de rețele sociale sau sisteme de mesagerie, de preferință gratuite, deschise și / sau mai sigure ca TelegramăSemnalMastodont sau altul din Fediverse, preferabil.

Și nu uitați să vizitați pagina noastră principală la «De la Linux» pentru a explora mai multe știri, precum și pentru a vă alătura canalului nostru oficial de Telegramă de la FromLinuxÎn timp ce, pentru mai multe informații, puteți vizita oricare Biblioteca online ca OpenLibra y jedit, pentru a accesa și a citi cărți digitale (PDF-uri) pe această temă sau altele.


Conținutul articolului respectă principiile noastre de etică editorială. Pentru a raporta o eroare, faceți clic pe aici.

Fii primul care comenteaza

Lasă comentariul tău

Adresa ta de email nu va fi publicată.

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

bool (adevărat)