OpenSSF 新进展:推出工具和数据集 CVE 基准,建立安全评分卡

来源: OSCHINA
2021-02-03

2020 年,Linux 基金会宣布与多家硬件和软件厂商合作,共同成立了开源安全基金会(OpenSSF),旨在提升开源软件安全性。自成立以来,开源安全基金会(OpenSSF)社区也一直在致力于帮助开发人员使用和共享具有主动处理安全性的高质量软件。

目前,该基金会已经更新了其 2021 年 1 月工作进展,其中包括发布了工具和数据集的 CVE 基准;并建立了安全评分卡,可以自动生成“安全评分”等内容。 

其工作组进度的最近更新具体如下:

  • 确保关键项目的安全

该工作组着重于了解哪些开源软件项目最为关键,以便可以相应地对安全工作进行优先级排序。该小组正在制定关键性评分,并为哈佛大学和 Linux 基金会撰写2020 年 FOSS 贡献者调查报告做出了贡献

  • 安全工具

此工作组提供的最新工具是工具和数据集的 CVE 基准。它使用一系列静态应用程序安全测试(SAST)工具分析了现实世界的代码库中的 200 多个 JavaScript/TypeScript 历史漏洞。

  • 确定安全威胁

该小组已在针对开源项目的安全度量仪表板上取得进展。安全度量仪表板的早期版本已向工作组演示。

  • 漏洞披露

该小组正在开发用户角色,以关注当前实践中的差距,并评估当今社区中正在使用的漏洞管理实践和标准。

  • 最佳实践

该小组已经建立了安全记分卡,可以通过对 OSS 项目进行大量检查来自动生成一个“安全分数”。它易于理解、完全自动化、使用客观标准,有能力在整个开放源码软件生态系统中提高人们的认识,激励项目改善其安全状况。

该小组还正在开发参考架构和有关工作小组项目的核心组成部分和关系的教育性介绍;与 OWASP 安全知识框架(SKF)合作,提供有关最佳实践和实验室的信息,以便在各种编程语言中尝试这些做法,并通过国际化改进 CII 最佳实践徽章,其中包括更多的中文翻译人员和斯瓦希里语的初步进展。

更多详情可查看官方公告:https://openssf.org/blog/2021/01/28/jan_2021_announcement/ 

延伸阅读:

展开阅读全文
1 收藏
分享
加载中
最新评论 (2)
防不胜防!!!
2021-02-03 11:27
0
回复
举报
怎么讲…
2021-02-03 13:26
0
回复
举报
更多评论
2 评论
1 收藏
分享
返回顶部
顶部