Kadi za alama za Usalama: Je! Ni nini na ni nini mpya katika toleo lake jipya la 2.0?

Kadi za alama za Usalama: Je! Ni nini na ni nini mpya katika toleo lake jipya la 2.0?

Kadi za alama za Usalama: Je! Ni nini na ni nini mpya katika toleo lake jipya la 2.0?

Siku chache zilizopita a toleo mpya 2.0 kutoka kwa mradi wa chanzo wazi ulioitwa "Kadi za alama za Usalama", ambao ni mradi ambao ulizinduliwa mnamo Novemba 2020 na google na Open Source Security Foundation (OpenSSF).

Kwa sababu hii, katika chapisho hili tutachunguza kwa undani zaidi mradi huo na yake toleo jipya 2.0, ambayo sasa ina Upimaji ulioimarishwa na uwezo kuboresha data iliyotengenezwa kwa uchambuzi zaidi.

OpenSSF

Na kwa kuwa mradi huu unasimamia OpenSSF, tutaacha mara moja kiunga cha yetu chapisho la awali lililohusiana nayo, ili ikiwa ni lazima, wale wanaopenda kujifunza zaidi juu ya Foundation walisema wanaweza kuipata kwa urahisi:

"Msingi wa Linux umetangaza kuunda mradi mpya uitwao "OpenSSF" (Open Source Security Foundation) ambao una lengo kuu la kuleta kazi ya viongozi wa tasnia katika uwanja wa uboreshaji wa usalama wa programu. Pamoja na hayo, OpenSSF itaendelea kukuza mipango kama vile Mpango wa Miundombinu na Muungano wa Usalama wa Chanzo wazi (Mpango wa Miundombinu ya Kati na Muungano wa Usalama wa Chanzo Huria) na italeta kazi nyingine zinazohusiana na usalama zinazofanywa na kampuni zilizojiunga na mradi huo .." OpenSSF: mradi unazingatia kuboresha usalama wa programu ya chanzo wazi

Nakala inayohusiana:
OpenSSF: mradi unazingatia kuboresha usalama wa programu ya chanzo wazi

Nakala inayohusiana:
Sigstore: Mradi wa kuboresha ugavi wa chanzo wazi

Kadi za alama za Usalama: Kadi za Alama za Usalama

Kadi za alama za Usalama: Kadi za Alama za Usalama

Kadi za alama za Usalama ni nini?

Kulingana na uchapishaji rasmi wa Chanzo wazi cha Google, mradi huu ulielezewa kama ifuatavyo:

""Kadi za alama za Usalama" ni moja ya miradi ya kwanza kuchapishwa ndani ya mfumo wa OpenSSF tangu kuanzishwa kwake Agosti 2020. Lengo ni kujitengenezea "alama ya usalama" kwa miradi ya chanzo wazi ili kusaidia Watumiaji kuamua uaminifu, hatari, na mkao wa usalama kwa kesi yao ya matumizi.

Kadi za alama za Usalama hufafanua vigezo vya awali vya tathmini ambavyo vitatumika kutengeneza kadi ya alama kwa mradi wa chanzo wazi kwa njia ya kiotomatiki. Kila hundi kwenye kadi ya alama inaweza kutekelezwa. Baadhi ya vipimo vya tathmini vilivyotumika ni pamoja na sera ya usalama iliyofafanuliwa vizuri, mchakato wa kukagua nambari, na chanjo inayoendelea ya upimaji na uchambuzi wa nambari tuli na zana za kufyatua. Boolean inarejeshwa na alama ya kujiamini kwa kila ukaguzi wa usalama.

Kwa muda, Google itaboresha vipimo hivi na michango ya jamii kupitia OpenSSF." Kadi za alama za usalama kwa miradi ya chanzo wazi

Je! Kadi za alama za Usalama zinafanyaje kazi?

Kulingana na OpenSSF"Kadi za alama za Usalama" inafanya kazi kama ifuatavyo:

Tengeneza a kadi ya alama kwa mradi wa chanzo wazi kwa njia ya kiotomatiki. Ingawa, kwa sasa nambari inafanya kazi na Hifadhi za programu ya GitHub, upanuzi wake kwa hazina zingine za nambari za chanzo uko kwenye bomba. Zaidi ya hayo, baadhi ya vipimo vya tathmini kutumika ni pamoja na sera ya usalama iliyoainishwa vizuri, mchakato wa kukagua nambari, na chanjo inayoendelea ya upimaji na zana fuzzing y uchambuzi wa nambari tuli.

Kwa kuongezea, hutathmini mara kwa mara miradi muhimu ya chanzo wazi na hufunua habari (data) ya hundi kupitia Hesabu ya umma ya BigQuery ambayo inasasishwa kila wiki. Na data hii pia inaweza kutumika kuongeza uamuzi wowote wa kiotomatiki unapoingizwa. utegemezi mpya wa chanzo wazi ndani ya miradi au mashirika.

Kwa hivyo, mashirika yanaweza amua vizuri zaidi Hiyo yoyote utegemezi mpya na alama za chini inapaswa kupitia tathmini ya ziada. Kwa hivyo hundi hizi zinaweza kusaidia kupunguza utegemezi mbaya kutoka kwa kupelekwa kwenye mifumo ya uzalishaji.

Kupanua habari hii kutoka kwa yako chanzo rasmi (OpenSSF) unaweza kuchunguza yafuatayo kiungo.

Ni nini kipya katika toleo la 2.0

Hii toleo mpya 2.0 ameachiliwa muda mfupi baadaye google itawasilisha mfumo kamili unaoitwa "Vipande vya ugavi wa vifaa vya programu" (Ngazi za mlolongo wa Ugavi wa Vifunguli vya Programu - SLSA) ambayo inataka kuhakikisha uadilifu wa mabaki ya programu na kuzuia marekebisho yasiyoruhusiwa wakati wa maendeleo na utekelezaji.

Na inajumuisha kwa ufupi kwa njia ya jumla yafuatayo mpya:

  1. Uboreshaji katika utambuzi wa hatari zinazoweza kujulikana.
  2. Kuimarishwa kwa utambuzi wa wachangiaji kwa kuhitaji uhakiki wa nambari ya tatu kabla ya kujitolea.
  3. Kukamilisha kugunduliwa kwa nambari iliyo hatarini kupitia utekelezaji wa vipimo vya nambari za tuli na kuzidi kuendelea.
  4. Uboreshaji katika utambuzi wa tegemezi zilizo katika mazingira magumu ili kupunguza hatari zinazowezekana za usalama na kuruhusu kufanya maamuzi sahihi zaidi kwa upunguzaji wao.

Kuchunguza maelezo ya nyongeza ya sasa au utendaji unaweza kuchunguza yafuatayo kiungo.

Muhtasari: Machapisho anuwai

Muhtasari

Tunatumahii hii "chapisho muhimu" juu ya «Security Scorecards», ambao ni Mradi uliozinduliwa na google na Msingi wa Usalama wa Chanzo, ambaye hivi karibuni aliachilia toleo mpya 2.0 kwamba imeongeza upimaji na uwezo wa kuboresha data iliyozalishwa kwa uchambuzi zaidi; ni ya kupendeza na matumizi, kwa jumla «Comunidad de Software Libre y Código Abierto» na mchango mkubwa katika kueneza mazingira mazuri, makubwa na yanayokua ya matumizi ya «GNU/Linux».

Kwa sasa, ikiwa ulipenda hii publicación, Usiache kushiriki na wengine, kwenye wavuti unazozipenda, idhaa, vikundi au jamii za mitandao ya kijamii au mifumo ya ujumbe, ikiwezekana bure, wazi na / au salama zaidi kama telegramSignalMastodoni au nyingine ya Fediverse, ikiwezekana.

Na kumbuka kutembelea ukurasa wetu wa nyumbani kwa «KutokaLinux» kuchunguza habari zaidi, na pia kujiunga na kituo chetu rasmi cha Telegram kutoka DesdeLinuxWakati, kwa habari zaidi, unaweza kutembelea yoyote Maktaba mkondoni kama OpenLibra y JedIT, kupata na kusoma vitabu vya dijiti (PDFs) juu ya mada hii au zingine.


Yaliyomo kwenye kifungu hicho yanazingatia kanuni zetu za maadili ya uhariri. Kuripoti kosa bonyeza hapa.

Kuwa wa kwanza kutoa maoni

Acha maoni yako

Anwani yako ya barua si kuchapishwa. Mashamba required ni alama na *

*

*

  1. Kuwajibika kwa data: Miguel Ángel Gatón
  2. Kusudi la data: Kudhibiti SpAM, usimamizi wa maoni.
  3. Uhalali: Idhini yako
  4. Mawasiliano ya data: Takwimu hazitawasilishwa kwa watu wengine isipokuwa kwa wajibu wa kisheria.
  5. Uhifadhi wa data: Hifadhidata iliyohifadhiwa na Mitandao ya Occentus (EU)
  6. Haki: Wakati wowote unaweza kupunguza, kuokoa na kufuta habari yako.