安全记分卡:它是什么以及它的新版本 2.0 中有什么新内容?
几天前一个 2.0年新版本 来自名为的开源项目 《安全记分卡》,这是一个由 2020 年 XNUMX 月启动的项目 谷歌 和 开源安全基金会 (OpenSSF)。
出于这个原因,在本出版物中,我们将更深入地研究上述项目及其 新版本2.0, 现在有 增强的测试和功能 优化生成的数据以供进一步分析。
而且由于这个项目负责 OpenSSF的,我们将立即离开我们的链接 以前的相关帖子 有了它,如果有必要,那些有兴趣了解更多关于所述基金会的人可以轻松访问它:
“Linux 基金会已宣布成立一个名为“OpenSSF”(开源安全基金会)的新项目,其主要目标是汇集代码软件安全增强领域的行业领导者的工作。 有了这个,OpenSSF 将继续开发诸如基础设施倡议和开源安全联盟(中央基础设施倡议和开源安全联盟)等倡议,并将汇集已加入该项目的公司正在进行的其他与安全相关的工作. .= OpenSSF:一个致力于提高开源软件安全性的项目
安全记分卡:安全记分卡
什么是安全记分卡?
根据一个 谷歌开源官方发布,这个项目描述如下:
““Security Scorecards”是 OpenSSF 框架自 2020 年 XNUMX 月成立以来最早发布的项目之一。目标是为开源项目自行生成“安全评分”,帮助用户决定信任、风险和他们的用例的安全态势。
安全记分卡定义了一个初始评估标准,该标准将用于以完全自动化的方式为开源项目生成记分卡。 记分卡上的每一项检查都是可操作的。 使用的一些评估指标包括定义明确的安全策略、代码审查过程以及静态代码分析和模糊测试工具的持续测试覆盖率。 返回一个布尔值以及每个安全检查的置信度分数。
随着时间的推移,谷歌将通过 OpenSSF 通过社区贡献来改进这些指标。= 开源项目的安全记分卡
安全记分卡如何工作?
SEGUN LA OpenSSF的, 《安全记分卡》 它的工作原理如下:
产生一个 记分卡 以完全自动化的方式用于开源项目。 虽然,目前该代码仅适用于 GitHub 软件存储库,它对其他源代码存储库的扩展正在筹备中。 此外,一些 评价指标 使用的包括定义明确的安全策略、代码审查过程和持续的测试覆盖范围 模糊测试工具 y 静态代码分析.
此外,它还定期评估 关键开源项目 并通过一种方式公开支票的信息(数据) BigQuery 公共数据集 每周更新一次。 这些数据还可用于在输入时增强任何自动决策。 新的开源依赖 在项目或组织内。
因此,组织可以 做出更优化的决定 那个 新依赖 同 低分 应该经过一个 附加评价. 因此,这些检查可以帮助缓解部署在生产系统上的恶意依赖项。
要从您的 官方来源(OpenSSF) 您可以探索以下内容 链接.
2.0版中的新功能
这 2.0年新版本 不久后被释放 谷歌 将提出一个名为的综合框架 “软件工件的供应链层” (软件工件的供应链级别 - SLSA) 它旨在确保软件工件的完整性,并在其开发和实施过程中防止未经授权的修改。
它以一般方式简要包括以下内容 新闻:
- 改进对可能的已知风险的识别。
- 通过在提交之前要求第三方代码审查来加强恶意贡献者检测。
- 通过静态代码测试和持续模糊测试,完善漏洞代码的检测。
- 改进易受攻击的依赖项的识别,以减轻可能的安全风险,并允许做出最合适的决策来缓解风险。
深入了解细节 当前的增强或功能 您可以探索以下内容 链接.
总结
我们希望这个 “有用的小贴子= 上 «Security Scorecards»,这是一个由 谷歌 和 开源安全基金会,谁最近发布了一个 2.0年新版本 它改进了检查和能力以优化生成的数据以供以后分析; 具有极大的兴趣和实用性,对于整个 «Comunidad de Software Libre y Código Abierto» 并极大地促进了应用程序的精彩,庞大和不断发展的生态系统的传播 «GNU/Linux».
现在,如果你喜欢这个 publicación, 不要停 分享 与其他人一起,在您喜欢的网站,频道,社交网络或消息传递系统的组或社区上使用,优选免费,开放和/或更加安全 Telegram, 信号, 乳齿象 或另一个 兽人,最好。
并记住访问我们的主页,网址为 «DesdeLinux» 探索更多新闻,以及加入我们的官方频道 电报 DesdeLinux. 同时,有关更多信息,您可以访问 在线图书馆 如 OpenLibra y 杰迪, 访问和阅读有关此主题或其他主题的数字书籍(PDF)。