Показники безпеки: Що це та що нового у новій версії 2.0?

Показники безпеки: Що це та що нового у новій версії 2.0?

Показники безпеки: Що це та що нового у новій версії 2.0?

Кілька днів тому a нова версія 2.0 з проекту з відкритим кодом "Показники безпеки", що є проектом, який було розпочато в листопаді 2020 року компанією Google і Фонд безпеки з відкритим кодом (OpenSSF).

З цієї причини в цій публікації ми заглибимось трохи глибше у згаданий проект та його нова версія 2.0, що зараз має Покращене тестування та можливості для оптимізації даних, що генеруються для подальшого аналізу.

OpenSSF

І оскільки цей проект відповідає за OpenSSF, ми негайно залишимо посилання на попередній пов’язаний пост з ним, щоб у разі потреби ті, хто бажає дізнатись більше про згаданий Фонд, могли легко отримати до нього доступ:

"Фонд Linux оголосив про створення нового проекту під назвою "OpenSSF" (Фонд безпеки з відкритим вихідним кодом), основна мета якого - об'єднати роботу лідерів галузі у галузі підвищення рівня безпеки програмного забезпечення для коду. Завдяки цьому OpenSSF буде продовжувати розробляти такі ініціативи, як Інфраструктурна ініціатива та Коаліція з відкритого коду (Центральна інфраструктурна ініціатива та Коаліція з відкритого коду), а також об'єднає інші роботи, пов'язані з безпекою, що проводяться компаніями, які приєдналися до проекту ..." OpenSSF: проект, орієнтований на підвищення безпеки програмного забезпечення з відкритим кодом

Пов'язана стаття:
OpenSSF: проект, орієнтований на підвищення безпеки програмного забезпечення з відкритим кодом

Пов'язана стаття:
Sigstore: Проект щодо вдосконалення ланцюжка поставок з відкритим кодом

Табло показників безпеки: Таблиці показників безпеки

Табло показників безпеки: Таблиці показників безпеки

Що таке показники безпеки?

Відповідно до a офіційне видання Google Open Source, цей проект був описаний таким чином:

""Оцінки безпеки" - один з перших проектів, який був опублікований в рамках OpenSSF з моменту його створення в серпні 2020 року. Метою є створення самооцінки "оцінки безпеки" для проектів з відкритим кодом, щоб допомогти користувачам вирішити довіру, ризик та постава безпеки для випадку їх використання.

Таблиці показників безпеки визначають початкові критерії оцінки, які будуть використовуватися для створення карти показників для проекту з відкритим кодом повністю автоматизованим способом. Кожна перевірка на картці рахунків діє. Деякі з використовуваних метрик оцінки включають чітко визначену політику безпеки, процес перегляду коду та постійне тестування з використанням статичного аналізу коду та інструментів розмивання. Булеве значення повертається, а також оцінка достовірності для кожної перевірки безпеки.

З часом Google покращить ці показники завдяки внескам спільноти через OpenSSF." Карти показників безпеки для проектів з відкритим кодом

Як працюють показники безпеки?

У відповідності з OpenSSF"Показники безпеки" він працює наступним чином:

Створити a рахункова картка для проекту з відкритим кодом повністю автоматизованим способом. Хоча, наразі код працює лише з Сховища програмного забезпечення GitHub, планується його розширення до інших сховищ вихідного коду. Крім того, деякі з метрики оцінки використовуються чітко визначена політика безпеки, процес перегляду коду та постійне тестування розмиті інструменти y статичний аналіз коду.

Крім того, він періодично оцінює критичні проекти з відкритим кодом і виставляє інформацію (дані) перевірок через Загальнодоступний набір даних BigQuery яка оновлюється щотижня. І ці дані також можуть бути використані для збільшення будь-якого автоматизованого прийняття рішень при введенні. нові залежності з відкритим кодом в рамках проектів або організацій.

Таким чином, організації могли вирішити більш оптимально Що будь-який нова залежність з низькі бали повинен пройти через додаткове оцінювання. Тож ці перевірки можуть допомогти зменшити зловмисні залежності від розгортання у виробничих системах.

Щоб розширити цю інформацію з вашого офіційне джерело (OpenSSF) Ви можете вивчити наступне посилання.

Що нового у версії 2.0

це нова версія 2.0 був звільнений незабаром після Google представить всеосяжну структуру, яка називається "Рівні ланцюгів поставок програмних артефактів" (Рівні ланцюжка поставок для програмних артефактів - SLSA) який прагне забезпечити цілісність програмних артефактів та запобігти несанкціонованим модифікаціям під час їх розробки та впровадження.

І воно коротко включає загалом наступне нове:

  1. Покращення у виявленні можливих відомих ризиків.
  2. Посилене виявлення зловмисників, вимагаючи перевірки коду сторонніх розробників перед комітом.
  3. Удосконалення виявлення вразливого коду шляхом здійснення статичних тестів коду та постійного розмивання.
  4. Покращення у виявленні вразливих залежностей для зменшення можливих ризиків безпеки та дозволу прийняття найбільш відповідних рішень щодо їх пом'якшення.

Щоб заглибитися в деталі поточні вдосконалення або функціональні можливості Ви можете вивчити наступне посилання.

Короткий зміст: Різні публікації

Резюме

Ми сподіваємось на це "корисний маленький пост" на «Security Scorecards», який є проектом, започаткованим Google і Фонд безпеки з відкритим кодом, який нещодавно випустив нова версія 2.0 що він має розширене тестування та можливості оптимізації сформованих даних для подальшого аналізу; представляє великий інтерес та корисність для всього «Comunidad de Software Libre y Código Abierto» і великий внесок у розповсюдження чудової, гігантської та зростаючої екосистеми програм «GNU/Linux».

Поки що, якщо вам це сподобалось publicación, Не зупиняйся поділитися ним з іншими, на ваших улюблених веб-сайтах, каналах, групах або спільнотах соціальних мереж або систем обміну повідомленнями, бажано безкоштовно, відкрито та / або більш безпечно, як TelegramСигналМастодонт або інший з Fediverse, бажано.

І не забудьте відвідати нашу домашню сторінку за адресою «FromLinux» вивчати більше новин, а також приєднуватися до нашого офіційного каналу Телеграма від DesdeLinuxХоча для отримання додаткової інформації ви можете відвідати будь-яку Інтернет-бібліотека як OpenLibra y JedIT, для доступу та читання цифрових книг (PDF) на цю тему чи інших.


Зміст статті відповідає нашим принципам редакційна етика. Щоб повідомити про помилку, натисніть тут.

Будьте першим, щоб коментувати

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.