Security Scorecards: Ce este și ce este nou în noua sa versiune 2.0?
Acum cateva zile a iesit unul versiune nouă 2.0 din proiectul open source numit „File de punctaj de securitate”, care este un proiect care a fost lansat în noiembrie 2020 de către Google şi Open Source Security Foundation (Open Source Security Foundation – OpenSSF).
Motiv pentru care, în această publicație vom aprofunda puțin mai mult în acest proiect și în el noua versiune 2.0, care acum are Verificări și capacități îmbunătățite pentru a optimiza datele generate pentru analize ulterioare.
Și din moment ce acest proiect este responsabil de OpenSSF, vom lăsa imediat linkul către nostru post asociat anterior cu el, astfel încât, dacă este necesar, cei interesați să aprofundeze în această Fundație să o poată accesa cu ușurință:
Fundația Linux a anunțat formarea unui nou proiect numit „OpenSSF” (Open Source Security Foundation) al cărui obiectiv principal este să reunească munca liderilor din industrie în domeniul îmbunătățirii securității software-ului sursă. Prin aceasta, OpenSSF va continua să dezvolte inițiative precum Inițiativa pentru infrastructură și Coaliția pentru securitate cu sursă deschisă (Inițiativa pentru infrastructură centrală și Coaliția pentru securitate cu sursă deschisă) și va reuni alte activități legate de securitate care sunt desfășurate de companiile care au s-a alăturat proiectului...Matei 22:21 OpenSSF: un proiect axat pe îmbunătățirea securității software-ului open source
Fișe de punctaj de securitate: Fișe de punctaj de securitate
Ce este Security Scorecards?
Potrivit unui publicația oficială a Google Open Source, acest proiect a fost descris astfel:
„Security Scorecards” este unul dintre primele proiecte publicate în cadrul OpenSSF de la crearea sa în august 2020. Obiectivul acestuia este de a genera automat un „scor de securitate” pentru proiectele open source pentru a ajuta utilizatorii să decidă încredere, risc și poziție de securitate pentru cazul lor de utilizare.
„Security Scorecards” definește un criteriu inițial de evaluare care va fi utilizat pentru a genera un scorecard pentru un proiect open source într-un mod complet automatizat. Fiecare verificare a tabloului de bord este acționabilă. Unele dintre valorile de evaluare utilizate includ o politică de securitate bine definită, un proces de revizuire a codului și o acoperire continuă a testelor cu instrumente de analiză a codului fuzz și statică. Se returnează un boolean, precum și un scor de încredere pentru fiecare verificare de securitate.
În timp, Google va îmbunătăți aceste valori cu contribuții ale comunității prin OpenSSF.Matei 22:21 Tabele de punctaj de securitate pentru proiecte open source
Cum funcționează Fișele de punctaj de securitate?
În conformitate cu OpenSSF, „File de punctaj de securitate” Funcționează după cum urmează:
Generați un card de scor pentru un proiect open source într-un mod complet automatizat. Deși, în prezent codul funcționează numai cu Arhivele de software GitHub, extinderea sa la alte depozite de cod sursă este în curs de dezvoltare. În plus, unele dintre valori de evaluare utilizate includ o politică de securitate bine definită, un proces de revizuire a codului și o acoperire continuă a testării cu instrumente de fuzzing y analiza codului static.
În plus, evaluează periodic proiecte critice open source și expune informațiile (datele) verificărilor prin a set de date BigQuery public care se actualizează săptămânal. Și aceste date pot fi, de asemenea, folosite pentru a spori orice luare automată a deciziilor atunci când sunt introduse noi dependențe open source în cadrul proiectelor sau organizaţiilor.
Prin urmare, organizațiile ar putea decide mai optim Că oricare nouă dependență cu scoruri mici ar trebui să treacă prin unul evaluare suplimentară. Prin urmare, aceste verificări ar putea ajuta la atenuarea dependențelor rău intenționate de la implementarea în sistemele de producție.
Pentru a extinde aceste informații de la dvs sursa oficială (OpenSSF) puteți explora următoarele legătură.
Noutăți în versiunea 2.0
acest versiune nouă 2.0 a fost eliberat la scurt timp după Google va prezenta un cadru cuprinzător numit „Nivelurile lanțului de aprovizionare pentru artefacte software” (Nivelurile lanțului de aprovizionare pentru artefacte software – SLSA) care urmărește să garanteze integritatea artefactelor software și să prevină modificările neautorizate în timpul dezvoltării și implementării acestora.
Și include pe scurt în mod general următoarele nou:
- Îmbunătățirea identificării posibilelor riscuri cunoscute.
- Detectare consolidată a contribuitorilor rău intenționați prin revizuirea obligatorie a codului de către un alt dezvoltator înainte de comitere.
- Detectare îmbunătățită a codului vulnerabil prin implementarea testării codului static și fuzzing continuu.
- Îmbunătățirea identificării dependențelor vulnerabile pentru a atenua posibilele riscuri de securitate și pentru a permite luarea celor mai adecvate decizii pentru atenuarea acestora.
Pentru a aprofunda în detaliile îmbunătățiri sau funcționalități curente puteți explora următoarele legătură.
Rezumat
Sperăm acest lucru puțină postare utilăMatei 22:21 pe «Security Scorecards», care este un Proiect lansat de Google şi Open Source Security Foundation, care a lansat recent a versiune nouă 2.0 care a îmbunătățit verificările și capacitățile de optimizare a datelor generate pentru analize ulterioare; să fie de mare interes și utilitate, pentru întreg «Comunidad de Software Libre y Código Abierto» și de o mare contribuție la difuzarea minunatului, gigantului și creșterii ecosistemului de aplicații al «GNU/Linux».
Deocamdată, dacă ți-a plăcut asta publicación, Nu te opri împărtășește-l cu alții, pe site-urile, canalele, grupurile sau comunitățile dvs. preferate de rețele sociale sau sisteme de mesagerie, de preferință gratuite, deschise și / sau mai sigure ca Telegramă, Semnal, Mastodont sau altul din Fediverse, preferabil.
Și nu uitați să vizitați pagina noastră principală la «DesdeLinux» pentru a explora mai multe știri, precum și pentru a vă alătura canalului nostru oficial de Telegrama de DesdeLinux. În timp ce, pentru mai multe informații, puteți vizita oricare Biblioteca online ca OpenLibra y jedit, pentru a accesa și a citi cărți digitale (PDF-uri) pe această temă sau altele.