Карты показателей безопасности: что это такое и что нового в новой версии 2.0?
Несколько дней назад новая версия 2.0 из проекта с открытым исходным кодом под названием «Карты безопасности», который был запущен в ноябре 2020 года компанией Google и Фонд безопасности с открытым исходным кодом (OpenSSF).
По этой причине в этой публикации мы немного углубимся в упомянутый проект и его новая версия 2.0, что теперь есть Расширенное тестирование и возможности для оптимизации генерируемых данных для дальнейшего анализа.
И поскольку этот проект отвечает за ОпенССФ, мы сразу оставим ссылку на наш предыдущий связанный пост с ним, так что при необходимости те, кто хочет узнать больше об указанном Фонде, могут легко получить к нему доступ:
Linux Foundation объявил о создании нового проекта под названием «OpenSSF» (Open Source Security Foundation), основной целью которого является объединение усилий лидеров отрасли в области повышения безопасности программного кода. При этом OpenSSF продолжит разработку таких инициатив, как Infrastructure Initiative и Open Source Security Coalition (Central Infrastructure Initiative и Open Source Security Coalition), а также объединит другую работу, связанную с безопасностью, которую выполняют компании, присоединившиеся к проекту. ... OpenSSF: проект, направленный на повышение безопасности программного обеспечения с открытым исходным кодом.
Карты показателей безопасности: Карты показателей безопасности
Что такое оценочные карты безопасности?
Согласно официальное издание Google Open Source, этот проект описывался следующим образом:
«Карты показателей безопасности» - один из первых проектов, опубликованных в рамках OpenSSF с момента его создания в августе 2020 года. Цель состоит в том, чтобы самостоятельно создать «рейтинг безопасности» для проектов с открытым исходным кодом, чтобы помочь пользователям определить степень доверия, риск и позиция безопасности для их случая использования.
Система показателей безопасности определяет критерии начальной оценки, которые будут использоваться для создания полностью автоматизированной системы показателей для проекта с открытым исходным кодом. Каждая проверка в оценочной карточке является действительной. Некоторые из используемых показателей оценки включают четко определенную политику безопасности, процесс проверки кода и постоянное тестирование с помощью инструментов фаззинга и статического анализа кода. Возвращается логическое значение, а также оценка достоверности для каждой проверки безопасности.
Со временем Google улучшит эти показатели за счет вклада сообщества через OpenSSF. Системы показателей безопасности для проектов с открытым исходным кодом
Как работает система показателей безопасности?
В соответствии с ОпенССФ, «Карты безопасности» он работает следующим образом:
Создать счетная карточка для проекта с открытым исходным кодом полностью автоматизированным способом. Хотя в настоящее время код работает только с Репозитории программного обеспечения GitHub, его распространение на другие репозитории исходного кода находится в стадии разработки. Кроме того, некоторые из показатели оценки включают в себя четко определенную политику безопасности, процесс проверки кода и текущее тестирование с помощью инструменты фаззинга y статический анализ кода.
Кроме того, он периодически оценивает важные проекты с открытым исходным кодом и предоставляет информацию (данные) о проверках через Общедоступный набор данных BigQuery который обновляется еженедельно. И эти данные также могут быть использованы для дополнения любого автоматического принятия решений при вводе. новые зависимости с открытым исходным кодом внутри проектов или организаций.
Таким образом, организации могли решить более оптимально Что любой новая зависимость con низкие баллы должен пройти через дополнительная оценка. Таким образом, эти проверки могут помочь уменьшить вредоносные зависимости от развертывания в производственных системах.
Чтобы расширить эту информацию из вашего официальный источник (OpenSSF) вы можете изучить следующие ссылка.
Что нового в версии 2.0
Esta новая версия 2.0 был выпущен вскоре после Google представит всеобъемлющую структуру, называемую «Уровни цепочки поставок для программных артефактов» (Уровни цепочки поставок для программных артефактов - SLSA) который стремится обеспечить целостность программных артефактов и предотвратить несанкционированные модификации во время их разработки и внедрения.
И он вкратце включает в себя следующие новый:
- Улучшение идентификации возможных известных рисков.
- Улучшено обнаружение вредоносных участников за счет обязательной сторонней проверки кода перед фиксацией.
- Совершенствование обнаружения уязвимого кода за счет реализации статических тестов кода и непрерывного фаззинга.
- Улучшение идентификации уязвимых зависимостей для снижения возможных рисков безопасности и позволяет принимать наиболее подходящие решения по их снижению.
Чтобы углубиться в детали текущие улучшения или функции вы можете изучить следующие ссылка.
Резюме
Мы надеемся на это полезный небольшой пост на «Security Scorecards», который является проектом, запущенным Google и Фонд безопасности с открытым исходным кодом, который недавно выпустил новая версия 2.0 что он имеет расширенные возможности тестирования и оптимизации сгенерированных данных для дальнейшего анализа; представляет большой интерес и полезность для всего «Comunidad de Software Libre y Código Abierto» и большой вклад в распространение замечательной, гигантской и растущей экосистемы приложений «GNU/Linux».
А пока, если вам это понравилось publicación, Не останавливаются поделись с другими, на ваших любимых веб-сайтах, каналах, группах или сообществах социальных сетей или систем обмена сообщениями, предпочтительно бесплатно, открыто и / или более безопасно, поскольку Telegram, сигнал, Мастодонт или другой из Fediverse, желательно.
И не забудьте посетить нашу домашнюю страницу по адресу «DesdeLinux» чтобы узнать больше новостей, а также присоединиться к нашему официальному каналу Telegram от DesdeLinux. А для получения дополнительной информации вы можете посетить любой Онлайн-библиотека в качестве OpenLibra y ДжедИТ, для доступа и чтения электронных книг (PDF) по этой или другим темам.