Mga Security Scorecard: Ano ito at ano ang bago sa bago nitong bersyon 2.0?

Linux Post Install

6 Minutos

Mga Security Scorecard: Ano ito at ano ang bago sa bago nitong bersyon 2.0?

Mga Security Scorecard: Ano ito at ano ang bago sa bago nitong bersyon 2.0?

Ilang araw na ang nakakalipas a bagong bersyon 2.0 mula sa proyekto ng open source na tinawag "Mga Security Scorecard", na isang proyekto na inilunsad noong Nobyembre 2020 ng Google at Open Source Security Foundation (OpenSSF).

Para sa kadahilanang ito, sa publication na ito ay malalaman natin ang isang maliit na mas malalim sa nasabing proyekto at nito bagong bersyon 2.0, mayroon na ngayon Pinahusay na mga tseke at kakayahan upang ma-optimize ang nabuong data para sa karagdagang pagsusuri.

OpenSSF

At dahil ang proyektong ito ay namamahala sa OpenSSF, iiwan namin kaagad ang link ng aming nakaraang nauugnay na post kasama nito, kung kaya't kinakailangan, ang mga interesadong malaman ang higit pa tungkol sa nasabing Foundation ay madaling ma-access ito:

"Inanunsyo ng Linux Foundation ang pagbuo ng isang bagong proyekto na tinatawag na "OpenSSF" (Open Source Security Foundation) na may pangunahing layunin na pagsamahin ang gawain ng mga namumuno sa industriya sa larangan ng pagpapahusay ng seguridad ng software ng software. Bukas. Sa pamamagitan nito, magpapatuloy ang OpenSSF upang makabuo ng mga pagkukusa tulad ng Infrastructure Initiative at Open Source Security Coalition (Central Infrastructure Initiative at Open Source Security Coalition) at isasama ang iba pang gawaing nauugnay sa seguridad na isinasagawa ng mga kumpanya na sumali sa proyekto ." OpenSSF: isang proyekto na nakatuon sa pagpapabuti ng seguridad ng open source software

OpenSSF
Kaugnay na artikulo:
OpenSSF: isang proyekto na nakatuon sa pagpapabuti ng seguridad ng open source software
 Sigstore: Project upang mapabuti ang bukas na chain ng supply ng mapagkukunan
Kaugnay na artikulo:
Sigstore: Project upang mapabuti ang bukas na chain ng supply ng mapagkukunan

Mga Security Scorecard: Security Card ng Marka

Mga Security Scorecard: Security Card ng Marka

Ano ang Security Scorecards?

Ayon sa a opisyal na publication ng Google Open Source, ang proyektong ito ay inilarawan tulad ng sumusunod:

"Ang "Security Scorecards" ay isa sa mga unang proyekto na na-publish sa loob ng balangkas ng OpenSSF mula nang magsimula ito noong Agosto 2020. Ang layunin ay upang makabuo ng isang "marka sa seguridad" para sa mga bukas na proyekto ng mapagkukunan upang matulungan ang Mga Gumagamit na magpasya sa pagtitiwala, peligro, at postura ng seguridad para sa kanilang kaso sa paggamit.

Ang Security Scorecards ay tumutukoy sa isang paunang pamantayan sa pagsusuri na gagamitin upang makabuo ng isang scorecard para sa isang bukas na proyekto ng mapagkukunan sa isang ganap na awtomatikong paraan. Ang bawat tseke sa scorecard ay naaaksyunan. Ang ilan sa mga sukatan sa pagsusuri na ginamit ay nagsasama ng isang mahusay na natukoy na patakaran sa seguridad, isang proseso ng pagsusuri ng code, at patuloy na saklaw ng pagsubok na may pagsusuri sa static na code at mga tool sa pag-fuzzing. Ang isang Boolean ay naibalik pati na rin ang isang marka ng kumpiyansa para sa bawat tseke sa seguridad.

Sa paglipas ng panahon, pagbutihin ng Google ang mga sukatang ito sa mga kontribusyon sa pamayanan sa pamamagitan ng OpenSSF." Mga scorecard sa seguridad para sa mga proyektong bukas na mapagkukunan

Paano gumagana ang Security Scorecards?

Ayon sa OpenSSF"Mga Security Scorecard" gumagana ito tulad ng sumusunod:

Bumuo a marka ng kard para sa isang bukas na proyekto ng mapagkukunan sa isang ganap na awtomatikong paraan. Bagaman, kasalukuyang gumagana lamang ang code Ang mga repository ng GitHub software, ang pagpapalawak nito sa iba pang mga repository ng source code ay nasa pipeline. Bukod dito, ang ilan sa mga sukatan ng pagsusuri ginamit isama ang isang mahusay na natukoy na patakaran sa seguridad, isang proseso ng pagsusuri ng code, at patuloy na saklaw ng pagsubok sa mga tool sa pag-burn y pagtatasa ng static code.

Bilang karagdagan, pana-panahong sinusuri nito ang kritikal na mga proyekto ng open source at inilalantad ang impormasyon (data) ng mga tseke sa pamamagitan ng a Pampublikong dataset ng BigQuery na kung saan ay nai-update lingguhan. At ang data na ito ay maaari ding magamit upang madagdagan ang anumang awtomatikong paggawa ng desisyon kapag ipinasok. bagong mga dependency ng open source sa loob ng mga proyekto o samahan.

Kaya, ang mga organisasyon ay maaaring magpasya nang mas mahusay Kahit na ano bagong pagtitiwala sa mababang marka dapat dumaan sa a karagdagang pagsusuri. Kaya't ang mga tseke na ito ay maaaring makatulong na mabawasan ang mga nakakahamak na pagpapakandili mula sa pag-deploy sa mga system ng produksyon.

Upang mapalawak ang impormasyong ito mula sa iyong opisyal na mapagkukunan (OpenSSF) maaari mong tuklasin ang mga sumusunod link.

Ano ang bago sa bersyon 2.0

Ito bagong bersyon 2.0 ay pinakawalan ilang sandali pagkatapos Google magpapakita ng isang komprehensibong balangkas na tinawag "Mga supply chain tier para sa mga artifact ng software" (Mga Antas ng supply-chain para sa Mga Artifact ng Software - SLSA) na naglalayong matiyak ang integridad ng mga artifact ng software at maiwasang hindi pinahintulutan ang mga pagbabago sa panahon ng kanilang pag-unlad at pagpapatupad.

At maikling isinasama nito sa isang pangkalahatang paraan ang mga sumusunod balita:

  1. Pagpapaganda sa pagkilala ng mga posibleng kilalang peligro.
  2. Pinatibay ang detalyadong nakakahamak na kontribyutter sa pamamagitan ng paghingi ng pagsusuri ng code ng third-party bago gawin.
  3. Pagperpekto sa pagtuklas ng mahina na code sa pamamagitan ng pagpapatupad ng mga pagsubok na static code at tuluy-tuloy na pag-fuzzing.
  4. Ang pagpapabuti sa pagkakakilanlan ng mga mahihinang dependency upang mapagaan ang mga posibleng peligro sa seguridad at payagan ang paggawa ng pinakaangkop na mga desisyon para sa kanilang pagpapagaan.

Upang tuklasin ang mga detalye ng kasalukuyang mga pagpapahusay o pagpapaandar maaari mong tuklasin ang mga sumusunod link.

Buod: Iba't ibang mga pahayagan

Buod

Inaasahan namin na ito "kapaki-pakinabang maliit na post" sa «Security Scorecards», na isang Project na inilunsad ng Google at Open Source Security Foundation, na kamakailan naglabas ng a bagong bersyon 2.0 na pinahusay nito ang pagsubok at mga kakayahan upang ma-optimize ang nabuong data para sa karagdagang pagsusuri; ay may malaking interes at utility, para sa kabuuan «Comunidad de Software Libre y Código Abierto» at ng malaking kontribusyon sa pagsasabog ng kamangha-mangha, naglalakihang at lumalaking ecosystem ng mga aplikasyon ng «GNU/Linux».

Sa ngayon, kung nagustuhan mo ito publicación, Huwag kang tumigil ibahagi ito kasama ng iba, sa iyong mga paboritong website, channel, grupo o komunidad ng mga social network o mga sistema ng pagmemensahe, mas mabuti na libre, bukas at / o mas ligtas bilang TelegramaSenyasMastodon o iba pa ng Fediverse, mas mabuti.

At tandaan na bisitahin ang aming home page sa «DesdeLinux» upang galugarin ang higit pang mga balita, pati na rin sumali sa aming opisyal na channel ng Telegram ng DesdeLinuxHabang, para sa karagdagang impormasyon, maaari mong bisitahin ang anumang Online library bilang OpenLibra y jedit, upang ma-access at mabasa ang mga digital na libro (PDF) sa paksang ito o iba pa.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.