Hodnotiace tabuľky zabezpečenia: Čo je to a čo je nové v novej verzii 2.0?
Pred pár dňami a nová verzia 2.0 z projektu open source s názvom „Hodnotiace tabuľky bezpečnosti“, čo je projekt, ktorý bol spustený v novembri 2020 do Google a Open Source Security Foundation (OpenSSF).
Dôvod, prečo sa v tejto publikácii budeme trochu venovať uvedenému projektu a jeho nová verzia 2.0, to teraz má Vylepšené testovanie a možnosti optimalizovať generované údaje pre ďalšiu analýzu.
A keďže tento projekt má na starosti OpenSSF, okamžite opustíme odkaz našich predchádzajúci súvisiaci príspevok s ním, aby v prípade potreby mali záujemcovia dozvedieť sa viac o spomínanej nadácii ľahký prístup k nej:
"Linuxová nadácia oznámila založenie nového projektu s názvom "OpenSSF" (Open Source Security Foundation), ktorého hlavným cieľom je spojiť prácu lídrov v odbore v oblasti zvyšovania bezpečnosti kódového softvéru. Týmto bude OpenSSF pokračovať v rozvoji iniciatív ako Infrastructure Initiative a Open Source Security Coalition (Central Infrastructure Initiative and Open Source Security Coalition) a spojí ďalšie práce súvisiace s bezpečnosťou, ktoré vykonávajú spoločnosti, ktoré sa do projektu zapojili. ..." OpenSSF: projekt zameraný na zvýšenie bezpečnosti softvéru s otvoreným zdrojovým kódom
Hodnotiace tabuľky bezpečnosti: Hodnotiace karty bezpečnosti
Čo sú bezpečnostné skóre?
Podľa a oficiálne zverejnenie Google Open Source, bol tento projekt popísaný takto:
"„Security Scorecards“ je jedným z prvých projektov, ktoré boli zverejnené v rámci OpenSSF od jeho založenia v auguste 2020. Cieľom je vlastné vygenerovanie „skóre bezpečnosti“ pre open source projekty, ktoré používateľom pomôže rozhodnúť sa o dôvere, riziku a bezpečnostná pozícia pre prípad ich použitia.
Hodnotiace tabuľky zabezpečenia definujú počiatočné hodnotiace kritériá, ktoré sa použijú na generovanie hodnotiacej tabuľky pre projekt otvoreného zdroja plne automatizovaným spôsobom. Každá kontrola v prehľade je použiteľná. Niektoré z použitých hodnotiacich metrík zahŕňajú dobre definovanú bezpečnostnú politiku, proces kontroly kódu a pokrytie priebežného testovania pomocou fuzzing nástrojov a statickej analýzy kódu. Vráti sa logická hodnota a skóre dôveryhodnosti každej bezpečnostnej kontroly.
Google tieto metriky časom vylepší prispievaním komunity cez OpenSSF." Kritériá zabezpečenia pre projekty open source
Ako fungujú hodnotiace tabuľky zabezpečenia?
Segun la OpenSSF, „Hodnotiace tabuľky bezpečnosti“ funguje to takto:
Vytvorte a výsledková karta pre projekt open source plne automatizovaným spôsobom. Aj keď v súčasnosti kód funguje iba s Softvérové úložiská GitHub, chystá sa jeho rozšírenie do ďalších archívov zdrojových kódov. Ďalej niektoré z hodnotiace metriky použité zahŕňajú dobre definovanú bezpečnostnú politiku, proces kontroly kódu a neustále testovacie pokrytie s fuzzovacie nástroje y statická analýza kódu.
Okrem toho pravidelne vyhodnocuje kritické open source projekty a sprístupňuje informácie (údaje) z kontrol prostredníctvom a Verejná množina údajov BigQuery ktorý sa aktualizuje každý týždeň. A tieto údaje je tiež možné použiť na rozšírenie akéhokoľvek automatizovaného rozhodovania po zadaní. nové závislosti od otvorených zdrojov v rámci projektov alebo organizácií.
Organizácie teda mohli rozhodnúť optimálnejšie To akékoľvek nová závislosť s nízke skóre by mal prejsť a dodatočné hodnotenie. Tieto kontroly by teda mohli pomôcť zmierniť škodlivé závislosti, ktoré by sa mohli nasadiť na produkčné systémy.
Ak chcete rozšíriť tieto informácie zo svojho oficiálny zdroj (OpenSSF) môžete preskúmať nasledujúce odkaz.
Čo je nové vo verzii 2.0
Tento nová verzia 2.0 bol prepustený krátko potom Google predstaví komplexný rámec tzv „Úrovne dodávateľského reťazca pre softvérové artefakty“ (Úrovne dodávateľského reťazca pre softvérové artefakty - SLSA) ktorého cieľom je zabezpečiť integritu softvérových artefaktov a zabrániť neoprávneným úpravám počas ich vývoja a implementácie.
Stručne obsahuje nasledujúce informácie novinky:
- Zlepšenie identifikácie možných známych rizík.
- Posilnená detekcia škodlivého prispievateľa prostredníctvom povinnej kontroly kódu tretej strany pred spáchaním.
- Zdokonalenie detekcie zraniteľného kódu implementáciou testov statického kódu a neustálym fuzzovaním.
- Zlepšenie identifikácie zraniteľných závislostí s cieľom zmierniť možné bezpečnostné riziká a umožniť prijatie najvhodnejších rozhodnutí na ich zmiernenie.
Ak sa chcete ponoriť do podrobností súčasné vylepšenia alebo funkcie môžete preskúmať nasledujúce odkaz.
Zhrnutie
V to dufame "užitočný malý príspevok" na «Security Scorecards», čo je projekt zahájený Google a Open Source Security Foundation, ktorý nedávno vydal a nová verzia 2.0 že má vylepšené kontroly a schopnosti optimalizovať generované údaje pre neskoršiu analýzu; je veľmi zaujímavý a užitočný pre celú spoločnosť «Comunidad de Software Libre y Código Abierto» a veľmi prispieva k rozšíreniu nádherného, gigantického a rastúceho ekosystému aplikácií systému «GNU/Linux».
Zatiaľ sa vám to páčilo publicación, Nezastavuj zdieľať to s ostatnými na svojich obľúbených webových stránkach, kanáloch, skupinách alebo komunitách sociálnych sietí alebo systémov správ, najlepšie bezplatných, otvorených a / alebo bezpečnejších ako telegram, Signálu, Mastodon alebo iný z Fediverse, prednostne.
A nezabudnite navštíviť našu domovskú stránku na adrese «DesdeLinux» preskúmať viac noviniek a tiež sa pripojiť k nášmu oficiálnemu kanálu Telegram z DesdeLinux. Zatiaľ čo pre viac informácií môžete navštíviť ktorúkoľvek z nich Online knižnica ako OpenLibra y jedit, prístup a čítanie digitálnych kníh (PDF) o tejto téme alebo iných.