Thẻ điểm bảo mật: Nó là gì và có gì mới trong phiên bản 2.0 mới của nó?
Một vài ngày trước đây a phiên bản mới 2.0 từ dự án nguồn mở được gọi là "Thẻ điểm bảo mật", là một dự án được khởi động vào tháng 2020 năm XNUMX bởi Google và Quỹ bảo mật nguồn mở (OpenSSF).
Vì lý do này, trong ấn phẩm này, chúng tôi sẽ nghiên cứu sâu hơn một chút về dự án đã nói và phiên bản mới 2.0, mà bây giờ có Kiểm tra nâng cao và khả năng để tối ưu hóa dữ liệu được tạo để phân tích sâu hơn.
Và vì dự án này phụ trách mởSSF, chúng tôi sẽ ngay lập tức để lại liên kết của bài liên quan trước với nó, để nếu cần, những người quan tâm đến việc tìm hiểu thêm về Foundation đã nói có thể dễ dàng truy cập nó:
"Quỹ Linux đã thông báo về việc thành lập một dự án mới có tên là "OpenSSF" (Quỹ Bảo mật Nguồn Mở) với mục tiêu chính là tập hợp công việc của các nhà lãnh đạo ngành trong lĩnh vực tăng cường bảo mật phần mềm mã mở. Với điều này, OpenSSF sẽ tiếp tục phát triển các sáng kiến như Sáng kiến Cơ sở hạ tầng và Liên minh An ninh Nguồn Mở (Sáng kiến Cơ sở Hạ tầng Trung tâm và Liên minh An ninh Nguồn Mở) và sẽ tập hợp các công việc liên quan đến bảo mật khác đang được thực hiện bởi các công ty đã tham gia dự án ." OpenSSF: một dự án tập trung vào việc cải thiện tính bảo mật của phần mềm nguồn mở
Thẻ điểm bảo mật: Thẻ điểm bảo mật
Thẻ điểm bảo mật là gì?
Theo một xuất bản chính thức về Nguồn mở của Google, dự án này được mô tả như sau:
""Thẻ điểm bảo mật" là một trong những dự án đầu tiên được xuất bản trong khuôn khổ OpenSSF kể từ khi thành lập vào tháng 2020 năm XNUMX. Mục tiêu là tự tạo "điểm bảo mật" cho các dự án nguồn mở để giúp người dùng quyết định mức độ tin cậy, rủi ro và tư thế bảo mật cho trường hợp sử dụng của họ.
Thẻ điểm bảo mật xác định tiêu chí đánh giá ban đầu sẽ được sử dụng để tạo thẻ điểm cho một dự án nguồn mở theo cách hoàn toàn tự động. Mọi kiểm tra trên thẻ điểm đều có thể hành động. Một số chỉ số đánh giá được sử dụng bao gồm chính sách bảo mật được xác định rõ ràng, quy trình xem xét mã và phạm vi kiểm tra liên tục với các công cụ fuzzing và phân tích mã tĩnh. Một Boolean được trả lại cũng như điểm tin cậy cho mỗi lần kiểm tra bảo mật.
Theo thời gian, Google sẽ cải thiện các chỉ số này với sự đóng góp của cộng đồng thông qua OpenSSF." Thẻ điểm bảo mật cho các dự án nguồn mở
Thẻ điểm bảo mật hoạt động như thế nào?
Según la mởSSF, "Thẻ điểm bảo mật" nó hoạt động như sau:
Tạo ra một thẻ điểm cho một dự án mã nguồn mở theo cách hoàn toàn tự động. Mặc dù, hiện tại mã chỉ hoạt động với Kho phần mềm GitHub, việc mở rộng của nó sang các kho mã nguồn khác đang trong quá trình triển khai. Hơn nữa, một số số liệu đánh giá được sử dụng bao gồm chính sách bảo mật được xác định rõ ràng, quy trình xem xét mã và phạm vi kiểm tra liên tục với công cụ fuzzing y phân tích mã tĩnh.
Ngoài ra, nó định kỳ đánh giá các dự án mã nguồn mở quan trọng và tiết lộ thông tin (dữ liệu) của việc kiểm tra thông qua Tập dữ liệu công khai BigQuery được cập nhật hàng tuần. Và dữ liệu này cũng có thể được sử dụng để tăng cường bất kỳ quá trình đưa ra quyết định tự động nào khi được nhập. phụ thuộc nguồn mở mới trong các dự án hoặc tổ chức.
Do đó, các tổ chức có thể quyết định một cách tối ưu hơn Điều đó bất kỳ sự phụ thuộc mới với điểm thấp nên trải qua một đánh giá bổ sung. Vì vậy, những kiểm tra này có thể giúp giảm thiểu sự phụ thuộc độc hại được triển khai trên các hệ thống sản xuất.
Để mở rộng thông tin này từ nguồn chính thức (OpenSSF) bạn có thể khám phá những điều sau đây liên kết.
Có gì mới trong phiên bản 2.0
Điều này phiên bản mới 2.0 đã được phát hành ngay sau đó Google sẽ trình bày một khuôn khổ toàn diện được gọi là "Các cấp chuỗi cung ứng cho tạo tác phần mềm" (Các cấp độ chuỗi cung ứng cho Tạo tác phần mềm - SLSA) tìm cách đảm bảo tính toàn vẹn của các tạo tác phần mềm và ngăn chặn các sửa đổi trái phép trong quá trình phát triển và triển khai chúng.
Và nó bao gồm một cách ngắn gọn một cách tổng quát như sau mới:
- Cải tiến trong việc xác định các rủi ro có thể đã biết.
- Tăng cường khả năng phát hiện cộng tác viên độc hại bằng cách yêu cầu xem xét mã của bên thứ ba trước khi cam kết.
- Hoàn thiện việc phát hiện mã dễ bị tấn công thông qua việc thực hiện các bài kiểm tra mã tĩnh và làm mờ liên tục.
- Cải tiến trong việc xác định các yếu tố phụ thuộc dễ bị tổn thương để giảm thiểu các rủi ro bảo mật có thể xảy ra và cho phép đưa ra các quyết định phù hợp nhất để giảm thiểu chúng.
Để đi sâu vào các chi tiết của những cải tiến hoặc chức năng hiện tại bạn có thể khám phá những điều sau đây liên kết.
tóm lại
Chúng tôi hy vọng điều này "bài viết nhỏ hữu ích" trên «Security Scorecards», là một Dự án được khởi chạy bởi Google và Quỹ bảo mật nguồn mở, người gần đây đã phát hành một phiên bản mới 2.0 rằng nó đã tăng cường kiểm tra và khả năng tối ưu hóa dữ liệu được tạo để phân tích sâu hơn; rất quan tâm và tiện ích, cho toàn bộ «Comunidad de Software Libre y Código Abierto» và đóng góp to lớn vào việc truyền bá hệ sinh thái tuyệt vời, khổng lồ và đang phát triển của các ứng dụng «GNU/Linux».
Hiện tại, nếu bạn thích điều này publicación, Đừng dừng lại chia sẻ nó với những người khác, trên các trang web, kênh, nhóm hoặc cộng đồng mạng xã hội hoặc hệ thống nhắn tin yêu thích của bạn, tốt nhất là miễn phí, mở và / hoặc an toàn hơn như Telegram, Tín hiệu, Loại voi lớn đa tuyệt chủng hoặc cái khác trong số Fediverse, tốt nhất là.
Và nhớ ghé thăm trang chủ của chúng tôi tại «DesdeLinux» để khám phá thêm tin tức, cũng như tham gia kênh chính thức của chúng tôi về Điện tín của DesdeLinux. Trong khi, để biết thêm thông tin, bạn có thể truy cập bất kỳ Thư viện trực tuyến như OpenLibra y jedit, để truy cập và đọc sách kỹ thuật số (PDF) về chủ đề này hoặc chủ đề khác.