Hace pocos días ha salido una nueva versión 2.0 del proyecto de código abierto llamado «Security Scorecards», el cual es un proyecto que fue lanzado en noviembre de 2020 por Google y la Fundación de la Seguridad del Código Abierto (Open Source Security Foundation – OpenSSF).
Razón por la cual, en esta publicación profundizaremos un poco sobre dicho proyecto y sobre su nueva versión 2.0, que ahora cuenta con comprobaciones y capacidades mejoradas para optimizar los datos generados para su análisis posterior.
Y dado que, dicho proyecto está a cargo de la OpenSSF, dejaremos inmediatamente más abajo el enlace de nuestra anterior publicación relacionada con la misma, para que en caso de ser necesario, aquellos interesados en profundizar sobre dicha Fundación puedan acceder fácilmente a la misma:
“La Fundación Linux ha anunciado la formación de un nuevo proyecto llamado «OpenSSF» (Open Source Security Foundation) el cual tiene como objetivo principal el reunir el trabajo de los líderes de la industria en el campo de la mejora de la seguridad del software de código abierto. Con ello OpenSSF continuará desarrollando iniciativas como la Infrastructure Initiative y Open Source Security Coalition (Iniciativa de Infraestructura Central y la Coalición de Seguridad de Código Abierto) y reunirá otros trabajos relacionados con la seguridad que están llevando a cabo las empresas que se han unido al proyecto.”
Articulo relacionado: OpenSSF: un proyecto enfocado en mejorar la seguridad del software de código abierto
Articulo relacionado: Sigstore, un servicio gratuito para verificar el origen y la autenticidad del software
Security Scorecards: Tarjetas de puntuación de seguridad
¿Qué es Security Scorecards?
Según una publicación oficial del Google Open Source, este proyecto fue descrito de la siguiente forma:
“«Security Scorecards» es uno de los primeros proyectos que se publican en el marco de la OpenSSF desde su creación en agosto de 2020. El objetivo del mismo es autogenerar una «puntuación de seguridad» para los proyectos de código abierto con el fin de ayudar a los usuarios a decidir la confianza, el riesgo y la postura de seguridad para su caso de uso.
«Security Scorecards» define un criterio de evaluación inicial que se utilizará para generar una tarjeta de puntuación para un proyecto de código abierto de forma totalmente automatizada. Cada comprobación del scorecard es procesable. Algunas de las métricas de evaluación utilizadas incluyen una política de seguridad bien definida, un proceso de revisión de código y una cobertura de pruebas continua con herramientas de fuzzing y análisis de código estático. Se devuelve un booleano así como una puntuación de confianza para cada comprobación de seguridad.
Con el tiempo, Google mejorará estas métricas con las contribuciones de la comunidad a través del OpenSSF.” Tarjetas de puntuación de seguridad para proyectos de código abierto (Security scorecards for open source projects)
¿Cómo funciona Security Scorecards?
Según la OpenSSF, «Security Scorecards» funciona de la siguiente forma:
Genera una tarjeta de puntuación para un proyecto de código abierto de forma totalmente automatizada. Aunque, actualmente el código solo funciona con repositorios de software de GitHub, está en proyecto su ampliación hacia otros repositorios de código fuente. Además, algunas de las métricas de evaluación utilizadas incluyen una política de seguridad bien definida, un proceso de revisión de código y una cobertura de pruebas continua con herramientas de fuzzing y análisis de código estático.
Además, evalúa periódicamente los proyectos críticos de código abierto y expone la información (datos) de las comprobaciones a través de un conjunto de datos público de BigQuery que se actualiza semanalmente. Y estos datos también pueden utilizarse para aumentar cualquier toma de decisiones de forma automatizada cuando se introducen nuevas dependencias de código abierto dentro de los proyectos o en las organizaciones.
Por ende, las organizaciones pudieran decidir de forma más óptima que cualquier nueva dependencia con puntuaciones bajas debería pasar por una evaluación adicional. Por lo que, estas comprobaciones podrían ayudar a mitigar que las dependencias maliciosas se desplieguen en los sistemas de producción.
Para ampliar esta información desde su fuente oficial (OpenSSF) se puede explorar el siguiente enlace.
Novedades de la versión 2.0
Esta nueva versión 2.0 ha sido liberada poco después de que Google presentara un framework de trabajo integral llamado «Niveles de cadena de suministro para artefactos de software» (Supply-chain Levels for Software Artifacts – SLSA) que busca garantizar la integridad de los artefactos de software y evitar las modificaciones no autorizadas durante su desarrollo e implementación.
Y la misma incluye brevemente de forma general las siguientes novedades:
- Mejoramiento en la identificación de los posibles riesgos conocidos.
- Reforzamiento de la detección de colaboradores malintencionados mediante la revisión obligatoria del código por parte de otro desarrollador antes de su confirmación.
- Perfeccionamiento de la detección de código vulnerable por medio de la implementación de pruebas de código estático y fuzzing continuo.
- Mejoramiento en la identificación de dependencias vulnerables para mitigar los posibles riesgos de seguridad y permitir tomar las más adecuadas decisiones para su mitigación.
Para profundizar en los detalles de las mejoras o funcionalidades actuales se puede explorar el siguiente enlace.
Fuente: desdelinux
