Security Scorecards: มันคืออะไรและมีอะไรใหม่ในเวอร์ชัน 2.0 ใหม่
เมื่อไม่กี่วันก่อน เวอร์ชันใหม่ 2.0 จากโครงการโอเพ่นซอร์สที่เรียกว่า "ตารางคะแนนความปลอดภัย"ซึ่งเป็นโครงการที่เปิดตัวในเดือนพฤศจิกายน 2020 โดย Google และ มูลนิธิความปลอดภัยโอเพ่นซอร์ส (OpenSSF)
เหตุผลที่ในเอกสารนี้เราจะเจาะลึกเล็กน้อยเกี่ยวกับโครงการดังกล่าวและของมัน เวอร์ชันใหม่ 2.0, ที่ตอนนี้มี ปรับปรุงการตรวจสอบและความสามารถ เพื่อเพิ่มประสิทธิภาพข้อมูลที่สร้างขึ้นสำหรับการวิเคราะห์ต่อไป
และเนื่องจากโครงการนี้อยู่ในความดูแลของ OpenSSFเราจะทิ้งลิงค์ของเราทันที โพสต์ที่เกี่ยวข้องก่อนหน้านี้ ด้วยเพื่อให้ผู้ที่สนใจเรียนรู้เพิ่มเติมเกี่ยวกับมูลนิธิดังกล่าวสามารถเข้าถึงได้ง่าย:
"มูลนิธิลินุกซ์ได้ประกาศจัดตั้งโครงการใหม่ชื่อว่า "OpenSSF" (Open Source Security Foundation) ซึ่งมีวัตถุประสงค์หลักเพื่อรวบรวมผลงานของผู้นำอุตสาหกรรมในด้านการเพิ่มประสิทธิภาพของโค้ดซอฟต์แวร์ด้านความปลอดภัย แบบเปิด ด้วยเหตุนี้ OpenSSF จะยังคงพัฒนาความคิดริเริ่ม เช่น Infrastructure Initiative และ Open Source Security Coalition (Central Infrastructure Initiative และ Open Source Security Coalition) และจะรวบรวมงานที่เกี่ยวข้องกับความปลอดภัยอื่นๆ ที่ดำเนินการโดยบริษัทต่างๆ ที่เข้าร่วมโครงการ ." OpenSSF: โครงการที่เน้นการปรับปรุงความปลอดภัยของซอฟต์แวร์โอเพนซอร์ส
บัตรคะแนนความปลอดภัย: บัตรคะแนนความปลอดภัย
Security Scorecards คืออะไร?
ตามที่ การเผยแพร่อย่างเป็นทางการของ Google Open Source, โครงการนี้อธิบายไว้ดังนี้:
""ดัชนีชี้วัดความปลอดภัย" เป็นหนึ่งในโครงการแรกๆ ที่เผยแพร่ภายในกรอบงาน OpenSSF นับตั้งแต่เริ่มก่อตั้งในเดือนสิงหาคม 2020 เป้าหมายคือการสร้าง "คะแนนความปลอดภัย" ด้วยตนเองสำหรับโครงการโอเพนซอร์สเพื่อช่วยให้ผู้ใช้ตัดสินใจเกี่ยวกับความน่าเชื่อถือ ความเสี่ยง และ ท่ารักษาความปลอดภัยสำหรับกรณีการใช้งาน
Security Scorecards กำหนดเกณฑ์การประเมินเบื้องต้นที่จะใช้ในการสร้างดัชนีชี้วัดสำหรับโครงการโอเพ่นซอร์สด้วยวิธีอัตโนมัติทั้งหมด ทุกการตรวจสอบบนตารางสรุปสถิติสามารถดำเนินการได้ เมตริกการประเมินบางตัวที่ใช้รวมถึงนโยบายความปลอดภัยที่กำหนดไว้อย่างดี กระบวนการตรวจสอบโค้ด และความครอบคลุมในการทดสอบอย่างต่อเนื่องด้วยการวิเคราะห์โค้ดแบบคงที่และเครื่องมือที่ไม่ชัดเจน บูลีนจะถูกส่งคืนพร้อมกับคะแนนความมั่นใจสำหรับการตรวจสอบความปลอดภัยแต่ละครั้ง
เมื่อเวลาผ่านไป Google จะปรับปรุงเมตริกเหล่านี้ด้วยการสนับสนุนของชุมชนผ่าน OpenSSF" บัตรคะแนนความปลอดภัยสำหรับโครงการโอเพ่นซอร์ส
Security Scorecards ทำงานอย่างไร
la Segun OpenSSF, "ตารางคะแนนความปลอดภัย" มันทำงานดังนี้:
สร้างไฟล์ บัตรคะแนน สำหรับโครงการโอเพ่นซอร์สด้วยวิธีอัตโนมัติทั้งหมด แม้ว่าปัจจุบันโค้ดจะใช้งานได้กับ .เท่านั้น ที่เก็บซอฟต์แวร์ GitHubการขยายไปยังที่เก็บซอร์สโค้ดอื่นอยู่ในไปป์ไลน์ นอกจากนี้ บางส่วนของ ตัวชี้วัดการประเมิน ใช้รวมถึงนโยบายความปลอดภัยที่กำหนดไว้อย่างดี กระบวนการตรวจสอบรหัส และครอบคลุมการทดสอบอย่างต่อเนื่องด้วย เครื่องมือคลุมเครือ y การวิเคราะห์รหัสคงที่.
นอกจากนี้ยังประเมิน .เป็นระยะ โครงการโอเพ่นซอร์สที่สำคัญ และเปิดเผยข้อมูล (data) ของเช็คผ่าน a ชุดข้อมูลสาธารณะ BigQuery ซึ่งอัพเดททุกสัปดาห์ และข้อมูลนี้ยังสามารถใช้เพื่อเสริมการตัดสินใจอัตโนมัติเมื่อป้อน การพึ่งพาโอเพ่นซอร์สใหม่ ภายในโครงการหรือองค์กร
องค์กรจึงสามารถ ตัดสินใจได้อย่างเหมาะสมที่สุด ที่ใด ๆ การพึ่งพาใหม่ กับ คะแนนต่ำ ควรผ่าน การประเมินเพิ่มเติม. ดังนั้น การตรวจสอบเหล่านี้จึงสามารถช่วยลดการพึ่งพาที่เป็นอันตรายจากการปรับใช้บนระบบที่ใช้งานจริงได้
เพื่อขยายข้อมูลนี้จากของคุณ แหล่งที่มาอย่างเป็นทางการ (OpenSSF) คุณสามารถสำรวจสิ่งต่อไปนี้ ลิงค์.
มีอะไรใหม่ในเวอร์ชัน 2.0
นี้ เวอร์ชันใหม่ 2.0 ได้รับการปล่อยตัวหลังจากนั้นไม่นาน Google จะนำเสนอกรอบที่ครอบคลุมที่เรียกว่า "ระดับซัพพลายเชนสำหรับสิ่งประดิษฐ์ซอฟต์แวร์" (ระดับห่วงโซ่อุปทานสำหรับสิ่งประดิษฐ์ซอฟต์แวร์ - SLSA) ซึ่งพยายามรับรองความสมบูรณ์ของสิ่งประดิษฐ์ซอฟต์แวร์และป้องกันการดัดแปลงโดยไม่ได้รับอนุญาตในระหว่างการพัฒนาและการใช้งาน
และโดยย่อรวมในลักษณะทั่วไปดังต่อไปนี้ general ใหม่:
- ปรับปรุงการระบุความเสี่ยงที่เป็นไปได้ที่ทราบ
- เพิ่มความเข้มแข็งในการตรวจจับผู้ร่วมให้ข้อมูลที่เป็นอันตรายโดยกำหนดให้มีการตรวจสอบโค้ดจากบุคคลที่สามก่อนดำเนินการ
- ปรับปรุงการตรวจจับโค้ดที่มีช่องโหว่ให้สมบูรณ์แบบโดยใช้การทดสอบโค้ดสแตติกและการฟัซซิ่งอย่างต่อเนื่อง
- ปรับปรุงการระบุการพึ่งพาที่มีช่องโหว่เพื่อลดความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นและอนุญาตให้ทำการตัดสินใจที่เหมาะสมที่สุดสำหรับการบรรเทา
เพื่อเจาะลึกรายละเอียดของ การปรับปรุงหรือฟังก์ชั่นปัจจุบัน คุณสามารถสำรวจสิ่งต่อไปนี้ ลิงค์.
ข้อมูลอย่างย่อ
เราหวังว่าสิ่งนี้ "โพสต์เล็ก ๆ น้อย ๆ ที่มีประโยชน์" บน «Security Scorecards»ซึ่งเป็นโครงการที่เปิดตัวโดย Google และ มูลนิธิความปลอดภัยโอเพ่นซอร์สที่เพิ่งเปิดตัว a released เวอร์ชันใหม่ 2.0 มีการปรับปรุงการตรวจสอบและความสามารถในการเพิ่มประสิทธิภาพข้อมูลที่สร้างขึ้นสำหรับการวิเคราะห์ในภายหลัง เป็นประโยชน์และเป็นประโยชน์ต่อส่วนรวม «Comunidad de Software Libre y Código Abierto» และมีส่วนช่วยอย่างมากต่อการแพร่กระจายของระบบนิเวศที่ยอดเยี่ยมขนาดมหึมาและการเติบโตของการใช้งาน «GNU/Linux».
สำหรับตอนนี้ถ้าคุณชอบสิ่งนี้ publicación, อย่าหยุด แบ่งปัน กับผู้อื่นบนเว็บไซต์ช่องทางกลุ่มหรือชุมชนเครือข่ายสังคมหรือระบบการส่งข้อความที่คุณชื่นชอบโดยเฉพาะอย่างยิ่งฟรีเปิดกว้างและ / หรือปลอดภัยมากขึ้นตาม Telegram, สัญญาณ, สัตว์แมสทอดอน หรืออื่น ๆ ของ Fediverseโดยเฉพาะอย่างยิ่ง
และอย่าลืมเยี่ยมชมหน้าแรกของเราที่ «DesdeLinux» เพื่อสำรวจข่าวสารเพิ่มเติมรวมทั้งเข้าร่วมช่องทางการของเราที่ โทรเลขของ DesdeLinux. ในขณะที่สำหรับข้อมูลเพิ่มเติมคุณสามารถไปที่ใดก็ได้ ห้องสมุดออนไลน์ ในขณะที่ OpenLibra y เจดไอที, เพื่อเข้าถึงและอ่านหนังสือดิจิทัล (PDF) ในหัวข้อนี้หรืออื่น ๆ