Сигурносне оцене: Шта је то и шта је ново у новој верзији 2.0?
Пре неколико дана а нова верзија 2.0 из пројекта отвореног кода под називом "Безбедносне оцене", што је пројекат који је у новембру 2020. године покренуо гоогле и Фондација за безбедност отвореног кода (ОпенССФ).
Разлог зашто ћемо се у овој публикацији мало позабавити наведеним пројектом и његовим пројектима нова верзија 2.0, то сада има Побољшано тестирање и могућности ради оптимизације података генерисаних за даљу анализу.
А пошто је овај пројекат задужен за ОпенССФ, одмах ћемо оставити везу нашег претходни сродни пост са њим, тако да ако је потребно, они заинтересовани да сазнају више о поменутој Фондацији могу лако да јој приступе:
"Линук Фоундатион најавио је формирање новог пројекта под називом "ОпенССФ" (Опен Соурце Сецурити Фоундатион) чији је главни циљ окупити рад лидера у индустрији на пољу унапређења софтверске сигурности кодног софтвера. Овим ће ОпенССФ наставити да развија иницијативе попут Инфраструктурне иницијативе и Коалиције за безбедност отвореног кода (Централ Инфраструцтуре Инитиативе анд Опен Соурце Сецурити Цоалитион) и окупљаће друге послове везане за безбедност које обављају компаније које су се придружиле пројекту. ." ОпенССФ: пројекат усмерен на побољшање сигурности софтвера отвореног кода
Сигурносне картице са резултатима: картице са сигурносном оценом
Шта су сигурносне оцене?
Према а званична публикација Гоогле Опен Соурце, овај пројекат је описан на следећи начин:
"„Безбедносне оцене“ један је од првих пројеката који су објављени у оквиру ОпенССФ-а од његовог оснивања, августа 2020. Циљ је да самостално генеришу „безбедносну оцену“ за пројекте отвореног кода како би помогли Корисницима да одлуче о поверењу. , ризик и безбедносно држање за случај употребе.
Сигурносне оцене дефинишу почетне критеријуме процене који ће се користити за генерисање листе резултата за пројекат отвореног кода на потпуно аутоматизован начин. Свака провјера на семафору је дјелотворна. Неке од коришћених метрика процене укључују добро дефинисану безбедносну политику, поступак прегледа кода и покривеност сталним тестирањем помоћу нејасних алата и статичке анализе кода. Враћа се логичка вредност као и оцена поузданости за сваку безбедносну проверу.
Временом ће Гоогле побољшати ове показатеље доприносима заједнице путем ОпенССФ-а." Карте са сигурносним резултатима за пројекте отвореног кода
Како функционишу сигурносне оцене?
Сегун ла ОпенССФ, "Безбедносне оцене" ради на следећи начин:
Генериши а бодовна карта за пројекат отвореног кода на потпуно аутоматизован начин. Иако тренутно код ради само са ГитХуб складишта софтвера, његово проширење на друга спремишта изворног кода је у припреми. Штавише, неки од метрика процене који се користе укључују добро дефинисану безбедносну политику, поступак прегледа кода и континуирано покривање тестирањем са фуззинг тоолс y статичка анализа кода.
Поред тога, периодично процењује критични пројекти отвореног кода и излаже информације (податке) чекова путем а Јавни скуп података БигКуери која се ажурира недељно. А ови подаци се такође могу користити за увећање било ког аутоматизованог доношења одлука када се унесу. нове зависности отвореног кода у оквиру пројеката или организација.
Тако су организације могле одлучите оптималније Да било који нова зависност са ниске оцене треба да прође кроз додатна оцена. Дакле, ове провере могу да помогну у ублажавању злонамерних зависности од примене на производним системима.
Да бисте проширили ове информације са свог званични извор (ОпенССФ) можете истражити следеће веза.
Шта је ново у верзији 2.0
Ово нова верзија 2.0 је пуштен убрзо након тога гоогле представиће свеобухватан оквир тзв „Нивои ланца снабдевања за софтверске артефакте“ (Нивои ланца испоруке за софтверске артефакте - СЛСА) која настоји да осигура интегритет софтверских артефаката и спречи неовлашћене модификације током њиховог развоја и примене.
И укратко на следећи начин укључује следеће нови:
- Побољшање у идентификовању могућих познатих ризика.
- Ојачано откривање злонамерних сарадника захтевањем прегледа независног кода пре урезивања.
- Усавршавање откривања рањивог кода применом статичких тестова кода и континуираним фуззингом.
- Побољшање у идентификовању рањивих зависности ради ублажавања могућих безбедносних ризика и омогућавања доношења најприкладнијих одлука за њихово ублажавање.
Да бих се позабавио детаљима тренутна побољшања или функционалности можете истражити следеће веза.
Резиме
Надамо се овоме "користан мали пост" на «Security Scorecards», што је пројекат који је покренуо гоогле и Фондација за безбедност отвореног кода, који је недавно објавио а нова верзија 2.0 да је побољшао провере и могућности за оптимизацију генерисаних података за каснију анализу; је од великог интереса и корисности, у целини «Comunidad de Software Libre y Código Abierto» и од великог доприноса ширењу дивног, гигантског и растућег екосистема апликација «GNU/Linux».
За сада, ако вам се свидело ово publicación, Не престај поделите то са другима на вашим омиљеним веб локацијама, каналима, групама или заједницама друштвених мрежа или система за размену порука, по могућности бесплатно, отворено и / или сигурније као Telegram, Сигнал, Мастодонт или неко други од Федиверсе, по могућности.
И не заборавите да посетите нашу почетну страницу на «DesdeLinux» да истражите још вести, као и да се придружите нашем званичном каналу Телеграм од DesdeLinux. За више информација можете посетити било који Интернет библиотека као ОпенЛибра y ЈедИТ, за приступ и читање дигиталних књига (ПДФ-ова) на ову тему или других.