بنیاد لینوکس و دانشگاه هاروارد اعلام لینوکس و متن باز مشارکت کننده امنیت بررسی

به جز برای دسکتاپ, لینوکس و منبع باز اجرای آن جهان. با قدرت های بزرگ می آید مسئولیت های امنیتی. در حالی که منبع باز مسائل امنیتی می تواند بیش از حد حقیقت ساده این است, عتیقه ناامن نرم افزار منبع باز است در همه جا. بنیاد لینوکس این را می داند. به آدرس آن را بنیاد Core Infrastructure Initiative (CII) و آزمایشگاه برای نوآوری علمی در دانشگاه هاروارد (لیش) را توسعه داده اند یک نظرسنجی برای نخ همکاران.

این ایجاد شده در بالای خود را "آسیب پذیری در هسته یک گزارش مقدماتی سرشماری دوم از نرم افزار منبع باز." مطالعه گذاشته یک روش برای درک و پرداختن به نرم افزار منبع باز ساختاری و امنیت پیچیدگی. به طور خاص, آن را نیز شناسایی شایع ترین استفاده از نخ قطعات در تولید برنامه ها و بررسی آنها به صورت بالقوه آسیب پذیری. این بررسی جدید نتایج کمک خواهد کرد ساخت:

یک مشترک پیشگیرانه رویکرد برای تقویت امنیت سایبر با بهبود منبع باز نرم افزار امنیتی است. هدف ما برای حمایت از, محافظت و تقویت باز کردن نرم افزار به خصوص نرم افزار انتقادی به جهانی اطلاعات زیرساخت ها است. ما دیدگاهی امنیت; ما عبارتند از: خطرات امنیتی در بحرانی پروژه هایی که در حال کافی پایدار و یا آسیب پذیر به زنجیره تامین حملات. ما قصد داریم به استفاده از این بررسی اطلاعات برای کمک به راهنمای این رویکرد است.

چرا ؟ به دلیل منبع باز است حیاتی برای جهان امروز است. به عنوان David A. چرخ بنیاد لینوکس مدیر باز-منبع زنجیره تامین, امنیت, گفت:: "نرم افزار منبع باز است در همه جا. در حال حاضر بیش از هر زمان دیگری ما نیاز به درک بهتر از آن را برای کمک به آن را حتی امن تر است."

علاوه بر این CII به تازگی اشاره کرد که چگونه آن را با استفاده از آن CII بهترین شیوه نشان برنامه برای تشویق توسعه دهندگان برای ایمن سازی برنامه های خود و برای اطمینان از کاربران که این نرم افزار امن است. ویلر توضیح داد: "یک CII بهترین شیوه نشان ویژه یک نشان طلا نشان می دهد که یک OSS پروژه اجرا کرده است تعداد زیادی از شیوه های خوب برای نگه داشتن این پروژه پایدار و مقابله با آسیب پذیری از ورود به نرم افزار خود را و آدرس آسیب پذیری زمانی که در بر داشت."

در اینجا چگونه کار می کند: Core Infrastructure Initiative (CII) بهترین شیوه نشان می دهد یک پروژه به شرح زیر امنیتی بهترین شیوه. مدالها اجازه دهید دیگران به سرعت ارزیابی که پروژه های زیر بهترین شیوه و به احتمال زیاد برای تولید با کیفیت بالاتر نرم افزار امن. بیش از 3000 پروژه های در حال بدست گرفتن بخشی در badging پروژه.

وجود دارد سه نشان سطح: عبور از نقره و طلا. هر سطح نیاز است که این پروژه OSS با مجموعه ای از معیارهای; طلا و نقره که شامل نشست سطح قبلی است.

"عبور" سطح قطاری چه به خوبی اجرا OSS پروژه ها به طور معمول در حال حاضر در حال انجام است. نمره عبور نیاز به برنامه نویسان برای دیدار با 66 معیار در شش دسته. برای مثال سطح عبور نیاز است که پروژه دولت نحوه گزارش آسیب پذیری به این پروژه است که آزمون اضافه شده که قابلیت اضافه شده است و این که استاتیک و تحلیل استفاده شده است به تجزیه و تحلیل نرم افزار برای مشکلات بالقوه است. به عنوان 14 ژوئن 2020 وجود دارد 3,195 شرکت پروژه و 443 تا به حال به دست آورده عبور نشان.

نقره و طلا سطح مدالها عمدا بیشتر خواستار است. نقره نشان طراحی شده است که سخت تر است اما ممکن است برای یک فرد پروژه ها. در اینجا نمونه هایی از نقره نشان مورد نیاز (در علاوه بر این به عبور مورد نیاز):

  • این پروژه باید نخ خودکار مجموعه تست(ع) است که به ارائه حداقل 80% بیانیه پوشش در صورت وجود حداقل یک نخ ابزار است که می تواند اندازه گیری این معیار در زبان انتخاب شده است.
  • این پروژه نتایج بررسی کنید باید تمام ورودی های به طور بالقوه از منابع غیر قابل اطمینان برای اطمینان از آنها معتبر هستند (یک لیست سفید) و رد ورودی نامعتبر اگر وجود دارد هر گونه محدودیت در داده ها.

طلا نشان می افزاید اضافی مورد نیاز است. نشان طلا مورد نیاز علاوه بر نقره مورد نیاز عبارتند از:

  • این پروژه باید یک "اتوبوس عامل" از دو یا بیشتر. یک "اتوبوس عامل" است که حداقل تعدادی از اعضای پروژه است که باید به طور ناگهانی ناپدید می شوند از یک پروژه قبل از آن اصطبل به دلیل فقدان دانش یا صالح پرسنل. می آید از شوخی که آیا یک پروژه می تواند زنده بماند اگر آن منجر ماسک است که در برخورد با یک اتوبوس.
  • این پروژه باید حداقل 50 ٪ از تمام پیشنهاد تغییرات بررسی قبل از انتشار توسط یک فرد دیگر از این نویسنده است.
  • این پروژه باید یک تجدید پذیر ساخت.
  • پروژه وب سایت مخزن (اگر در دسترس از طریق وب) و سایت دانلود (اگر جداگانه) باید شامل کلید سخت شدن هدر با nonpermissive ارزش.

البته یک نشان طلا معنا نیست که یک پروژه را کاملا امن است و هیچ اشکالات در کد. اما یک CII بهترین شیوه نشان ویژه یک نشان طلا نشان می دهد که یک پروژه اجرا کرده است شیوه های متعدد را حفظ خواهد کرد این پروژه پایدار و مقابله با آسیب پذیری از ورود به نرم افزار خود را و آدرس آسیب پذیری زمانی که در بر داشت.

شما می توانید به CII بهترین شیوه نشان سایت برای شروع به کسب یک نشان. برای بیشتر اطلاعات پس زمینه در مورد بهترین شیوه نشان را ببینید, ارائه, "Core Infrastructure Initiative (CII) بهترین شیوه نشان 2019."

در نهایت به کمک مجموعه ای از بهترین نخ امنیتی توسعه شیوه رفتن به جلو را فاس مشارکت کننده در نظرسنجی. آنها طرح در پایان این نظرسنجی در اوایل ماه اوت.

اخبار مرتبط:



tinyurlis.gdv.gdv.htu.nuclck.ruulvis.netshrtco.detny.im