Scorecards Kaamanan: Naon éta sareng naon anu énggal dina versi anyar na 2.0?

Scorecards Kaamanan: Naon éta sareng naon anu énggal dina versi anyar na 2.0?

Scorecards Kaamanan: Naon éta sareng naon anu énggal dina versi anyar na 2.0?

Sababaraha dinten ka pengker a versi anyar 2.0 ti proyék open source disebut "Kartu Skor Kaamanan", anu mangrupikeun proyek anu diawalan dina bulan Nopémber 2020 ku Google jeung Open Source Security Foundation (OpenSSF).

Kusabab kitu, dina ieu publikasi kami bakal ngaliwat sakedik langkung jero kana proyék cenah sareng na versi anyar 2.0, anu ayeuna gaduh Nguji ditingkatkeun sareng kamampuan pikeun ngaoptimalkeun data anu dihasilkeun pikeun analisa salajengna.

OpenSSF

Sareng kumargi proyek ieu anu ngurus OpenSSF, urang bakal langsung tinggalkeun tautan ti kami pos patali saméméhna sareng éta, janten upami diperyogikeun, anu resep diajar langkung seueur ngeunaan Yayasan éta tiasa gampang ngaksésna:

"Yayasan Linux parantos ngumumkeun dibentukna proyek anyar anu disebut "OpenSSF" (Open Source Security Foundation) anu ngagaduhan tujuan utami pikeun ngahijikeun padamelan pamimpin industri dina bidang paningkatan kaamanan perangkat lunak kode. Kabuka. Kalayan ieu, OpenSSF bakal teras ngembangkeun inisiatif sapertos Prakarsa Infrastruktur sareng Koalisi Kaamanan Sumber Terbuka (Inisiatif Infrastruktur Pusat sareng Koalisi Kaamanan Sumber Terbuka) sareng bakal ngahijikeun padamelan anu patali sareng kaamanan anu dilakukeun ku perusahaan anu parantos ngagabung kana proyék éta. ." OpenSSF: proyék anu fokus kana ningkatkeun kaamanan parangkat lunak open source

Tulisan anu aya hubunganana:
OpenSSF: proyék anu fokus kana ningkatkeun kaamanan parangkat lunak open source

Tulisan anu aya hubunganana:
Sigstore: Proyék ningkatkeun ranté pasokan sumber terbuka

Scorecards Kaamanan: Kartu Skor Kaamanan

Scorecards Kaamanan: Kartu Skor Kaamanan

Naon Scorecards Kaamanan?

Numutkeun ka a publikasi resmi Google Open Source, proyék ieu dijelaskeun sapertos kieu:

""Scorecards Security" mangrupikeun salah sahiji proyék anu mimiti diterbitkeun dina kerangka OpenSSF ti saprak didirikeun dina bulan Agustus 2020. Tujuanana pikeun ngahasilkeun "skor kaamanan" pikeun proyék open source pikeun ngabantosan pangguna pikeun mutuskeun amanah, résiko, sareng sikep kaamanan pikeun kasus panggunaan aranjeunna.

Scorecards Kaamanan nangtoskeun kriteria évaluasi awal anu bakal dianggo pikeun ngahasilkeun scorecard pikeun proyék open source ku cara otomatis pinuh. Unggal cek dina scorecard tiasa dipilampah. Sababaraha metrik évaluasi anu digunakeun kalebet kabijakan kaamanan anu parantos ditetepkeun, prosés marios kode, sareng liputan uji coba anu lumangsung sareng analisis kode statis sareng pakakas paburencay. Boolean dipulangkeun ogé skor kapercayaan pikeun tiap cék kaamanan.

Kana waktosna, Google bakal ningkatkeun métrik ieu kalayan kontribusi komunitas ngalangkungan OpenSSF." Kartu skor kaamanan pikeun proyék sumber kabuka

Kumaha carana dianggo Scorecards Kaamanan?

dumasar kana OpenSSF"Kartu Skor Kaamanan" éta tiasa dianggo sapertos kieu:

Ngahasilkeun a kartu skor pikeun proyék open source ku cara otomatis pinuh. Sanaos, ayeuna kode na ngan ukur tiasa dianggo Repository parangkat lunak GitHub, ékspansi na ka Repository kode sumber sanésna aya dina pipa. Salajengna, sababaraha sahiji métrik evaluasi digunakeun kalebet kabijakan kaamanan anu parantos ditetepkeun, prosés marios kode, sareng cakupan uji coba anu lumangsung kalayan alat-alat fuzzing y analisis kode statis.

Salaku tambahan, éta périodik ngaevaluasi proyék sumber kabuka kritis sareng ngungkabkeun inpormasi (data) cék ngalangkungan a BigQuery kumpulan data umum anu diénggalan saminggu. Sareng data ieu ogé tiasa dianggo pikeun nambihan kaputusan kaputusan otomatis nalika dilebetkeun. kagumantungan sumber terbuka anyar dina proyék atanapi organisasi.

Janten, organisasi tiasa mutuskeun langkung optimal Sing saha waé kagumantungan anyar jeung skor handap kedah ngalangkungan a meunteun tambahan. Janten cek ieu tiasa ngabantosan miténasi kagumantungan jahat tina dikaluarkeun dina sistem produksi.

Pikeun ngalegaan inpormasi ieu ti anjeun sumber resmi (OpenSSF) anjeun tiasa ngajajah ieu di handap link.

Naon anu énggal dina versi 2.0

ieu versi anyar 2.0 parantos dileupaskeun teu lami saatos Google bakal nampilkeun kerangka komprehensif anu disebat "Tingkat ranté suplai pikeun artéfak parangkat lunak" (Tingkat ranté suplai pikeun artéfak parangkat lunak - SLSA) anu ngusahakeun mastikeun integritas artefak parangkat lunak sareng nyegah modifikasi anu teu sah salami pamekaran sareng palaksanaannana.

Sareng sacara ringkes kalebet sacara umum sapertos kieu anyar:

  1. Perbaikan dina idéntifikasi résiko anu dipikaterang dipikaterang.
  2. Nguatkeun deteksi kontributor jahat ku meryogikeun tinjauan kode ti pihak katilu sateuacan ngalakukeun.
  3. Nyampurnakeun deteksi kode rentan ngalangkungan ngalaksanakeun tés kode statis sareng ngobaran kontinyu.
  4. Perbaikan dina idéntifikasi kagumantungan rentan pikeun mitigasi kamungkinan résiko kaamanan sareng ngamungkinkeun nyandak kaputusan anu paling pas pikeun mitigasi na.

Pikeun neuleuman rinci ngeunaan paningkatan atanapi fungsionalitas ayeuna anjeun tiasa ngajajah ieu di handap link.

Ringkesan: Rupa-rupa terbitan

Resumen

Kami arepkeun ieu "gunana tulisan saeutik" on «Security Scorecards», anu mangrupakeun Proyék anu diluncurkeun ku Google jeung Yayasan Kaamanan Sumber Terbuka, anu nembé ngaluarkeun a versi anyar 2.0 yén éta parantos ningkatkeun cék sareng kamampuan ngaoptimalkeun data anu dihasilkeun pikeun analisa engké; dipikaresep pisan sareng kagunaan, pikeun sadayana «Comunidad de Software Libre y Código Abierto» sareng kontribusi hébat kana difusi ékosistem aplikasi éndah, gigantic sareng ngembang tina «GNU/Linux».

Kanggo ayeuna, upami anjeun resep ieu publicación, Tong eureun bagikeun sareng anu sanésna, dina halaman wéb anu anjeun pikaresep, saluran, grup atanapi komunitas jaringan sosial atanapi sistem olahtalatah, langkung saé gratis, kabuka sareng / atanapi langkung aman sabab telegramtandaMastodon atanapi anu sanésna tina Fediverse, langkung saé.

Sareng émut kanggo nganjang halaman bumi kami di «TiLinux» pikeun ngajalajah langkung seueur berita, ogé ngiluan saluran resmi kami tina Telegram ti DesdeLinuxSedengkeun, pikeun langkung seueur inpormasi, anjeun tiasa sumping waé Perpustakaan online Como OpenLibra y JedIT, pikeun ngaksés sareng maca buku digital (PDFs) ngeunaan topik ieu atanapi anu sanés.


Eusi tulisan taat kana prinsip urang tina étika éditorial. Pikeun ngalaporkeun kasalahan klik di dieu.

Janten kahiji komen

Ninggalkeun koméntar anjeun

email alamat anjeun moal diterbitkeun. Widang diperlukeun téh ditandaan ku *

*

*

  1. Jawab data: Miguel Ángel Gatón
  2. Tujuan tina data: Kontrol SPAM, manajemén koméntar.
  3. Legitimasi: idin anjeun
  4. Komunikasi data: Data moal dikomunikasikan ka pihak katilu kacuali ku kawajiban hukum.
  5. Panyimpenan data: Basis data anu diayakeun ku Occentus Networks (EU)
  6. Hak: Iraha waé anjeun tiasa ngawatesan, cageur sareng mupus inpormasi anjeun.