作者:Michael Scovetta,识别安全威胁工作组,OpenSSF
OpenSSF[1]宣布安全指标倡议[2]的初始版本。该计划的主要目标是提供有关与开源项目相关的威胁和风险的有价值的决定性信息。安全指标(Security Metrics)附带了一个认知的仪表板,供涉众做出关于在他们的软件供应链中使用/容纳此类项目的可靠的知情决策。
它是如何工作的?
安全指标从知情来源收集重要的面向安全的数据,例如:
-
记分卡 [3]——衡量开源项目的安全状况
-
临界得分 [4]——决定开源项目的影响和重要性
-
最佳实践徽章 [5]——沟通如何很好地遵循安全最佳实践
-
安全审查 [6]——显示由研究人员执行的安全评估
例子
下面是搜索Kubernetes 项目[7]后显示的信息示例。虽然没有一个单一的指标可以完全描述使用一个软件的安全风险,我们相信有多个指标可以从一个中心位置访问可以帮助做出明智的决定。
为 Kubernetes 项目生成的仪表板
我们的现况是?
我们最初的“早期 alpha”版本包含了收集到的超过 100,000 个项目的数据,可以通过仪表板和一个简单的 API 访问。在接下来的几个月里,我们计划发布更多的特性(比如新的指标和更丰富的 API 访问),增加覆盖的项目数量,并改善整体用户体验。
你可以通过https://metrics.openssf.org访问安全指标。我们非常欢迎你的反馈[8],如果你有兴趣了解更多信息或参与这项工作,请联系Michael Scovetta[9]或参加我们的下一次工作组[10]会议。
参考资料
[1]OpenSSF: https://openssf.org/
[2]安全指标倡议: https://metrics.openssf.org/
[3]记分卡: https://github.com/ossf/scorecard
[4]临界得分: https://github.com/ossf/criticality_score
[5]最佳实践徽章: https://bestpractices.coreinfrastructure.org/
[6]安全审查: https://github.com/ossf/security-reviews
[7]Kubernetes 项目: https://metrics.openssf.org/grafana/d/default/metric-dashboard?orgId=1&var-PackageURL=pkg:github%2Fkubernetes%2Fkubernetes
[8]反馈: https://github.com/ossf/Project-Security-Metrics/issues
[9]Michael Scovetta: michael.scovetta@microsoft.com
[10]工作组: https://github.com/ossf/wg-identifying-security-threats
猜你喜欢:Linux基金会是非营利性组织,是技术生态系统的重要组成部分。
Linux基金会通过提供财务和智力资源、基础设施、服务、活动以及培训来支持创建永续开源生态系统。在共享技术的创建中,Linux基金会及其项目通过共同努力形成了非凡成功的投资。
