Varnostni kazalniki: kaj je to in kaj je novega v novi različici 2.0?
Pred nekaj dnevi a nova različica 2.0 iz odprtokodnega projekta z imenom "Varnostni kazalniki", to je projekt, ki ga je novembra 2020 začel projekt google in Open Source Security Foundation (OpenSSF).
Zaradi tega se bomo v tej publikaciji nekoliko poglobili v omenjeni projekt in njegove nova različica 2.0, ki je zdaj Izboljšano testiranje in zmogljivosti za optimizacijo podatkov, ustvarjenih za nadaljnjo analizo.
In ker je ta projekt zadolžen za OpenSSF, bomo takoj zapustili povezavo do našega prejšnja sorodna objava z njo, tako da bodo po potrebi lahko tisti, ki jih zanima več o omenjeni Fundaciji, enostavno dostopali:
"Linux Foundation je napovedal ustanovitev novega projekta z imenom "OpenSSF" (Open Source Security Foundation), katerega glavni cilj je združiti delo voditeljev v industriji na področju izboljšanja varnosti programske opreme. S tem bo OpenSSF še naprej razvijal pobude, kot sta Infrastrukturna pobuda in Odprtokodna varnostna koalicija (Central Infrastructure Initiative and Open Source Security Coalition), in združeval druga varnostna dela, ki jih izvajajo podjetja, ki so se pridružila projektu ..." OpenSSF: projekt, osredotočen na izboljšanje varnosti odprtokodne programske opreme
Varnostni kazalniki: Varnostni kazalniki
Kaj so varnostne ocene?
Po enem uradna objava Google Open Source, ta projekt je bil opisan na naslednji način:
""Security Scorecards" je eden prvih projektov, ki je bil objavljen v okviru OpenSSF od njegove ustanovitve avgusta 2020. Cilj je samo-ustvariti "varnostno oceno" za odprtokodne projekte, ki uporabnikom pomaga določiti zaupanje, tveganje in varnostna drža za primer njihove uporabe.
Varnostni kazalniki določajo začetna merila za ocenjevanje, ki se bodo uporabila za ustvarjanje preglednice za odprtokodni projekt na popolnoma avtomatiziran način. Vsak pregled na semaforju je izvedljiv. Nekatere uporabljene metrike vrednotenja vključujejo natančno določeno varnostno politiko, postopek pregleda kode in neprekinjeno pokrivanje s statično analizo kode in orodji za mešanje. Vrne se logična vrednost in ocena zaupanja za vsako varnostno preverjanje.
Sčasoma bo Google te meritve izboljšal s prispevki skupnosti prek OpenSSF." Varnostne preglednice za odprtokodne projekte
Kako delujejo varnostni kazalniki?
Segun la OpenSSF, "Varnostni kazalniki" deluje na naslednji način:
Ustvari a točkovna kartica za odprtokodni projekt na popolnoma avtomatiziran način. Čeprav trenutno koda deluje samo z Skladišča programske opreme GitHub, njegova razširitev na druge repozitorije izvorne kode je v pripravi. Poleg tega nekateri metrike vrednotenja uporabljajo natančno določeno varnostno politiko, postopek pregleda kode in stalno preskušanje z mehka orodja y statična analiza kode.
Poleg tega redno ocenjuje kritični odprtokodni projekti in izpostavi informacije (podatke) pregledov prek a Javni nabor podatkov BigQuery ki se posodablja tedensko. Ti podatki se lahko uporabijo tudi za povečanje avtomatiziranega odločanja ob vnosu. nove odprtokodne odvisnosti znotraj projektov ali organizacij.
Tako bi lahko organizacije odločite se bolj optimalno Kateri koli nova odvisnost z nizke ocene bi moral iti skozi a dodatno vrednotenje. Torej lahko ta preverjanja pomagajo omiliti škodljive odvisnosti od namestitve v proizvodne sisteme.
Če želite razširiti te podatke iz vašega uradni vir (OpenSSF) lahko raziščete naslednje povezava.
Kaj je novega v različici 2.0
To nova različica 2.0 je bil kmalu zatem izdan google bo predstavil celovit okvir, imenovan "Stopnje dobavne verige za artefakte programske opreme" (Ravni dobavne verige za programske artefakte - SLSA) ki skuša zagotoviti celovitost artefaktov programske opreme in preprečiti nepooblaščene spremembe med njihovim razvojem in izvajanjem.
In na kratko na splošno vključuje naslednje Nova:
- Izboljšanje prepoznavanja možnih znanih tveganj.
- Okrepljeno zaznavanje zlonamernih sodelavcev z zahtevo po pregledu kode pred prevzemom.
- Izboljšanje odkrivanja ranljive kode z izvajanjem testov statične kode in nenehnim mešanjem.
- Izboljšanje prepoznavanja ranljivih odvisnosti za ublažitev možnih varnostnih tveganj in omogočanje sprejemanja najustreznejših odločitev za njihovo ublažitev.
Poglobiti se v podrobnosti trenutne izboljšave ali funkcionalnosti lahko raziščete naslednje povezava.
Povzetek
Upamo, da to "koristna majhna objava" na «Security Scorecards», ki je projekt, ki ga je začel google in Odprtokodna varnostna fundacija, ki je pred kratkim izdal a nova različica 2.0 da ima izboljšana testiranja in zmogljivosti za optimizacijo ustvarjenih podatkov za nadaljnjo analizo; je za celotno zelo zanimivo in uporabno «Comunidad de Software Libre y Código Abierto» in velik prispevek k širjenju čudovitega, velikanskega in rastočega ekosistema aplikacij «GNU/Linux».
Za zdaj, če vam je bilo to všeč publicación, Ne nehaj delite z drugimi na vaših najljubših spletnih mestih, kanalih, skupinah ali skupnostih v družabnih omrežjih ali sistemih za sporočanje, po možnosti brezplačno, odprto in / ali bolj varno kot Telegram, Signal, Mastodon ali drug od Fediverse, po možnosti.
In ne pozabite obiskati naše domače strani na «DesdeLinux» da raziščete več novic in se pridružite našemu uradnemu kanalu Telegram z dne DesdeLinux. Za več informacij pa lahko obiščete katero koli Spletna knjižnica kot OpenLibra y jedit, za dostop in branje digitalnih knjig (PDF) na to temo ali drugih.