Google समर्थित स्कोरकार्ड नए चेक के साथ ओपन सोर्स सुरक्षा मेट्रिक्स को मजबूत करते हैं

Posted on

एआई अपनाने की अवस्था में आपका उद्यम कहां खड़ा है? पता लगाने के लिए हमारे एआई सर्वेक्षण में भाग लें।


होने दें ओएसएस एंटरप्राइज न्यूजलेटर अपनी ओपन सोर्स यात्रा का मार्गदर्शन करें! पंजी यहॉ करे.

ओपन सोर्स सिक्योरिटी फाउंडेशन (ओपनएसएसएफ) में Google और उसके सह-सदस्यों ने अपने ओपन सोर्स सिक्योरिटी स्कोरकार्ड प्रोजेक्ट के लिए एक बड़े अपडेट की घोषणा की है।

ओपनएसएसएफ, एक लिनक्स फाउंडेशन प्रोजेक्ट, जिसे पिछले अगस्त में लॉन्च किया गया था और माइक्रोसॉफ्ट, गिटहब, आईबीएम, रेड हैट और Google जैसे संगठनों के नेतृत्व में, पहली बार नवंबर में स्कोरकार्ड की घोषणा की। इसका मुख्य उद्देश्य ओपन सोर्स प्रोजेक्ट्स के लिए स्वचालित रूप से एक सुरक्षा रेटिंग बनाना है, जो बदले में संभावित उपयोगकर्ताओं (यानी प्रमुख सुरक्षा-सचेत उद्यमों के डेवलपर्स) को अपने स्वयं के सॉफ़्टवेयर में एक विशिष्ट ओपन सोर्स घटक के साथ आगे बढ़ने के बारे में अधिक सूचित निर्णय लेने में मदद करता है। परियोजनाओं. अभी के लिए, यह केवल GitHub रिपॉजिटरी के साथ काम करता है, हालांकि भविष्य में इसे दूसरों तक विस्तारित करने की योजना है।

कमजोरियों

संदर्भ के लिए, ओपन सोर्स सॉफ्टवेयर अपनाने में उद्यम और अन्य जगहों में तेजी आई है, हालांकि कमजोरियां एक सतत खतरा बनी हुई हैं – अनुमानित 84% कोडबेस में कम से कम एक ओपन सोर्स भेद्यता होती है। इसके अलावा, सोलरविंड्स जैसे हाई-प्रोफाइल हमलों के बाद पिछले छह महीनों में आपूर्ति श्रृंखला हमलों ने एक प्रमुख तरीके से सुर्खियां बटोरीं, जो इस बात पर प्रकाश डालता है कि कंपनियों के लिए बाहरी (ओपन सोर्स) पैकेजों का उचित मूल्यांकन करना क्यों महत्वपूर्ण है, जो वे अपने लिए पेश करते हैं। अनुप्रयोग।

स्कोरकार्ड संस्करण 2.0.0 के साथ, जो दो दिन पहले चुपचाप शुरू हो गया, ओपनएसएसएफ ने स्कोरकार्ड मिश्रण में नई सुरक्षा जांच का एक गुच्छा जोड़ा है। इसमें एक नई शाखा-सुरक्षा जांच शामिल है, जिसका उपयोग डेवलपर्स यह सत्यापित करने के लिए कर सकते हैं कि जिस ओपन सोर्स प्रोजेक्ट का वे उपयोग करना चाहते हैं, उसके पास किसी अन्य डेवलपर से अनिवार्य कोड समीक्षा प्रक्रिया है – यह सुनिश्चित करने के लिए है कि दुर्भावनापूर्ण इरादे वाले बुरे अभिनेता परिचय न दें उदाहरण के लिए, एक कोडबेस के पिछले दरवाजे। इसके अतिरिक्त, स्कोरकार्ड में अब यह देखने के लिए चेक भी शामिल हैं कि क्या कोई प्रोजेक्ट अपनी सीआई/सीडी प्रक्रिया में फ़ज़िंग और एसएएसटी टूल का उपयोग करता है, जो कमजोरियों को कोडबेस में प्रवेश करने से रोकने के लिए किसी तरह जाना चाहिए।

कहीं और, एक नया टोकन-अनुमति रोकथाम जांच अब सत्यापित करेगी कि एक प्रोजेक्ट के वर्कफ़्लोज़ “कम से कम विशेषाधिकार के सिद्धांत का पालन करते हैं” GitHub टोकन को डिफ़ॉल्ट रूप से केवल-पढ़ने के लिए, जो Google ने कहा कि दुर्भावनापूर्ण पुल अनुरोधों को रोकने में मदद करेगा जो एक तक पहुंच प्राप्त करने का प्रयास करते हैं। विशेषाधिकार प्राप्त GitHub टोकन। और एक नई कमजोरियों की जांच भी ओपन सोर्स प्रोजेक्ट की कमजोरियों को सामने लाने में मदद करती है इससे पहले वे किसी अन्य प्रोजेक्ट में निर्भरता बन जाते हैं – यह एक अलग भेद्यता चेतावनी प्रणाली की सदस्यता लेने की आवश्यकता को छोड़ देता है।

यह ध्यान देने योग्य है कि स्कोरकार्ड आवश्यक रूप से कंपनियों को विशिष्ट ओपन सोर्स प्रोजेक्ट्स से दूर रखने के लिए डिज़ाइन नहीं किए गए हैं। यदि कोई विशेष घटक कम रेटिंग उत्पन्न करता है, तो एक कंपनी यह देखने के लिए अपने स्वयं के परीक्षण चलाने का निर्णय ले सकती है कि यह वास्तव में कितना मजबूत है, या वे इसे सुधारने के लिए परियोजना निर्माताओं के साथ काम करने का निर्णय ले सकते हैं। आखिरकार, कई ओपन सोर्स प्रोजेक्ट मेंटेनर्स के पास खुद को पूर्णकालिक नौकरी के लिए समर्पित करने के लिए अपर्याप्त संसाधन हैं, इसलिए थोड़ा अतिरिक्त समर्थन एक लंबा रास्ता तय कर सकता है।

वेंचरबीट

तकनीकी निर्णय लेने वालों के लिए परिवर्तनकारी तकनीक और लेनदेन के बारे में ज्ञान हासिल करने के लिए वेंचरबीट का मिशन एक डिजिटल टाउन स्क्वायर बनना है।

जब आप अपने संगठनों का नेतृत्व करते हैं तो हमारा मार्गदर्शन करने के लिए हमारी साइट डेटा तकनीकों और रणनीतियों पर आवश्यक जानकारी प्रदान करती है। हम आपको हमारे समुदाय का सदस्य बनने के लिए आमंत्रित करते हैं:

  • आपकी रुचि के विषयों पर अप-टू-डेट जानकारी
  • हमारे समाचार पत्र
  • गेटेड विचार-नेता सामग्री और हमारे बेशकीमती आयोजनों के लिए रियायती पहुंच, जैसे रूपांतरण 2021: और अधिक जानें
  • नेटवर्किंग सुविधाएँ, और बहुत कुछ

सदस्य बने

Leave a Reply

Your email address will not be published. Required fields are marked *