Kartat e pikëve të sigurisë: Çfarë është ajo dhe çfarë ka të re në versionin e saj të ri 2.0?
Disa ditë më parë a version i ri 2.0 nga projekti me burim të hapur të quajtur "Kartat e Vlerësimit të Sigurisë", i cili është një projekt që filloi në nëntor 2020 nga Google dhe Open Source Security Foundation (OpenSSF).
Për këtë arsye, në këtë botim do të thellohemi pak më thellë në projektin e përmendur dhe në atë versioni i ri 2.0, që tani ka Testim dhe aftësi të përmirësuara për të optimizuar të dhënat e krijuara për analiza të mëtejshme.
Dhe meqenëse, ky projekt është përgjegjës për OpenSSF, ne menjëherë do të largohemi nga lidhja e jona postimi i mëparshëm i lidhur me të, në mënyrë që nëse është e nevojshme, ata që janë të interesuar të mësojnë më shumë rreth Fondacionit të përmendur mund të kenë lehtësisht qasje në të:
"Fondacioni Linux ka njoftuar formimin e një projekti të ri të quajtur "OpenSSF" (Open Source Security Foundation) i cili ka si objektiv kryesor të mbledhë punën e drejtuesve të industrisë në fushën e përmirësimit të sigurisë së softuerit të kodit. Me këtë, OpenSSF do të vazhdojë të zhvillojë iniciativa të tilla si Iniciativa e Infrastrukturës dhe Koalicioni i Sigurisë me Burim të Hapur (Iniciativa Qendrore e Infrastrukturës dhe Koalicioni i Sigurisë me Burim të Hapur) dhe do të bashkojë punën tjetër të lidhur me sigurinë që po kryhet nga kompanitë që janë bashkuar me projektin. ." OpenSSF: një projekt i përqendruar në përmirësimin e sigurisë së softuerit me burim të hapur
Kartat e rezultatit të sigurisë: Kartat e sigurisë
Çka janë Kartat e Sigurisë?
Sipas një botimi zyrtar i Google Open Source, ky projekt u përshkrua si më poshtë:
""Karta e Vlerësimit të Sigurisë" është një nga projektet e para që publikohet brenda kornizës OpenSSF që nga fillimi i tij në gusht 2020. Qëllimi është të gjenerojë vetë "një rezultat sigurie" për projektet me burim të hapur për të ndihmuar përdoruesit të vendosin besimin, rrezikun dhe qëndrimi i sigurisë për rastin e përdorimit të tyre.
Kartat e Vlerësimit të Sigurisë përcaktojnë një kriter fillestar të vlerësimit që do të përdoret për të gjeneruar një kartelë për një projekt me burim të hapur në një mënyrë plotësisht të automatizuar. Çdo kontroll në kartën e rezultateve është i veprueshëm. Disa nga metrikat e vlerësimit të përdorura përfshijnë një politikë sigurie të përcaktuar mirë, një proces të rishikimit të kodit dhe mbulimin e vazhdueshëm të testimit me analiza të kodit statik dhe mjete fuzzing. Një Boolean kthehet, si dhe një rezultat i besimit për çdo kontroll sigurie.
Me kalimin e kohës, Google do t'i përmirësojë këto metrike me kontributet e komunitetit përmes OpenSSF." Kartolina sigurie për projekte me burim të hapur
Si funksionojnë Kartat e Vlerësimit të Sigurisë?
Sipas OpenSSF, "Kartat e Vlerësimit të Sigurisë" funksionon si më poshtë:
Gjeneroni një letër rezultati për një projekt me burim të hapur në një mënyrë plotësisht të automatizuar. Megjithëse, aktualisht kodi punon vetëm me të Depot e softverit GitHub, zgjerimi i tij në depot e tjera të kodit burimor është në proces. Për më tepër, disa nga metrikat e vlerësimit të përdorura përfshijnë një politikë të përcaktuar mirë të sigurisë, një proces të rishikimit të kodit dhe mbulimin e vazhdueshëm të testimit me mjete fuzzing y analiza e kodit statik.
Përveç kësaj, ajo vlerëson në mënyrë periodike projekte kritike me burim të hapur dhe ekspozon informacionin (të dhënat) e kontrolleve përmes a Baza e të dhënave publike BigQuery e cila azhurnohet çdo javë. Dhe këto të dhëna mund të përdoren gjithashtu për të shtuar çdo vendimmarrje të automatizuar kur futet. varësi të reja me burim të hapur brenda projekteve ose organizatave.
Kështu, organizatat mund të vendos më optimale Se çdo varësia e re me rezultate të ulëta duhet të kalojë nëpër një vlerësim shtesë. Kështu që këto kontrolle mund të ndihmojnë në zbutjen e varësisë nga keqdashja nga vendosja në sistemet e prodhimit.
Për të zgjeruar këtë informacion nga tuaj burimi zyrtar (OpenSSF) ju mund të eksploroni sa vijon lidhje.
Çfarë ka të re në versionin 2.0
kjo version i ri 2.0 është lëshuar pak më vonë Google do të paraqesë një kornizë gjithëpërfshirëse të quajtur "Nivelet e zinxhirit të furnizimit për artefakte softuerësh" (Nivelet e zinxhirit të furnizimit për artefakte softuerësh - SLSA) e cila kërkon të sigurojë integritetin e objekteve të softuerit dhe të parandalojë modifikimet e paautorizuara gjatë zhvillimit dhe zbatimit të tyre.
Dhe shkurtimisht përfshin në përgjithësi sa vijon i ri:
- Përmirësimi në identifikimin e rreziqeve të mundshme të njohura.
- Forcimi i zbulimit të kontribuesit të dëmshëm duke kërkuar rishikimin e kodit të palës së tretë përpara kryerjes.
- Përsosja e zbulimit të kodit të prekshëm përmes zbatimit të testeve të kodit statik dhe fuzzing-ut të vazhdueshëm.
- Përmirësimi në identifikimin e varësive të prekshme për të zbutur rreziqet e mundshme të sigurisë dhe për të lejuar marrjen e vendimeve më të përshtatshme për zbutjen e tyre.
Të thellohem në detajet e përmirësimet aktuale ose funksionalitetet ju mund të eksploroni sa vijon lidhje.
Përmbledhje
Ne shpresojmë që kjo "post i dobishëm i vogël" më «Security Scorecards», i cili është një Projekt i nisur nga Google dhe Fondacioni i Sigurisë me Burim të Hapur, i cili së fundmi lëshoi një version i ri 2.0 që ka përmirësuar testimin dhe aftësitë për të optimizuar të dhënat e gjeneruara për analiza të mëtejshme; është me interes dhe dobi të madhe, për të gjithë «Comunidad de Software Libre y Código Abierto» dhe me një kontribut të madh në përhapjen e ekosistemit të mrekullueshëm, gjigant dhe në rritje të zbatimeve të «GNU/Linux».
Tani për tani, nëse ju pëlqeu kjo publicación, Mos u ndal ndajnë atë me të tjerët, në faqet e internetit, kanalet, grupet ose komunitetet tuaja të preferuara të rrjeteve sociale ose sistemeve të mesazheve, mundësisht falas, të hapur dhe / ose më të sigurt si Telegram, Sinjal, Mastodont ose një tjetër i Gjithësia, mundësisht.
Dhe mos harroni të vizitoni faqen tonë në «DesdeLinux» për të eksploruar më shumë lajme, si dhe për t'u bashkuar me kanalin tonë zyrtar të Telegrami i DesdeLinux. Ndërsa, për më shumë informacion, mund të vizitoni cilindo Biblioteka online si OpenLibra y jedit, për të hyrë dhe lexuar libra dixhitalë (PDF) mbi këtë temë ose të tjera.