OpenSSF 安全指标倡议介绍
作者:Michael Scovetta,识别安全威胁工作组,OpenSSF
OpenSSF[1]宣布安全指标倡议[2]的初始版本。该计划的主要目标是提供有关与开源项目相关的威胁和风险的有价值的决定性信息。安全指标(Security Metrics)附带了一个认知的仪表板,供涉众做出关于在他们的软件供应链中使用/容纳此类项目的可靠的知情决策。
它是如何工作的?
安全指标从知情来源收集重要的面向安全的数据,例如:
-
记分卡 [3]——衡量开源项目的安全状况
-
临界得分 [4]——决定开源项目的影响和重要性
-
最佳实践徽章 [5]——沟通如何很好地遵循安全最佳实践
-
安全审查 [6]——显示由研究人员执行的安全评估
例子
下面是搜索Kubernetes 项目[7]后显示的信息示例。虽然没有一个单一的指标可以完全描述使用一个软件的安全风险,我们相信有多个指标可以从一个中心位置访问可以帮助做出明智的决定。
为 Kubernetes 项目生成的仪表板
我们的现况是?
我们最初的“早期 alpha”版本包含了收集到的超过 100,000 个项目的数据,可以通过仪表板和一个简单的 API 访问。在接下来的几个月里,我们计划发布更多的特性(比如新的指标和更丰富的 API 访问),增加覆盖的项目数量,并改善整体用户体验。
你可以通过https://metrics.openssf.org访问安全指标。我们非常欢迎你的反馈[8],如果你有兴趣了解更多信息或参与这项工作,请联系Michael Scovetta[9]或参加我们的下一次工作组[10]会议。
参考资料
[1]OpenSSF: https://openssf.org/
[2]安全指标倡议: https://metrics.openssf.org/
[3]记分卡: https://github.com/ossf/scorecard
[4]临界得分: https://github.com/ossf/criticality_score
[5]最佳实践徽章: https://bestpractices.coreinfrastructure.org/
[6]安全审查: https://github.com/ossf/security-reviews
[7]Kubernetes 项目: https://metrics.openssf.org/grafana/d/default/metric-dashboard?orgId=1&var-PackageURL=pkg:github%2Fkubernetes%2Fkubernetes
[8]反馈: https://github.com/ossf/Project-Security-Metrics/issues
[9]Michael Scovetta: michael.scovetta@microsoft.com
[10]工作组: https://github.com/ossf/wg-identifying-security-threats
Linux基金会是非营利性组织,是技术生态系统的重要组成部分。
Linux基金会通过提供财务和智力资源、基础设施、服务、活动以及培训来支持创建永续开源生态系统。在共享技术的创建中,Linux基金会及其项目通过共同努力形成了非凡成功的投资。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
官宣|Apache Flink 1.13.0 正式发布,流处理应用更加简单高效!
翻译 | 高赟 Review | 朱翥、马国维 Flink 1.13 发布了!Flink 1.13 包括了超过 200 名贡献者所提交的 1000 多项修复和优化。 这一版本中,Flink 的一个主要目标取得了重要进展,即让流处理应用的使用像普通应用一样简单和自然。Flink 1.13 新引入的被动扩缩容使得流作业的扩缩容和其它应用一样简单,用户仅需要修改并发度即可。 这个版本还包括一系列重要改动使用户可以更好理解流作业的性能。当流作业的性能不及预期的时候,这些改动可以使用户可以更好的分析原因。这些改动包括用于识别瓶颈节点的负载和反压可视化、分析算子热点代码的 CPU 火焰图和分析 State Backend 状态的 State 访问性能指标。 除了这些特性外,Flink 社区还添加了大量的其它优化,本文后续会讨论其中的一些。我们希望用户可以享受新的版本和特性带来的便利,在本文最后,我们还会介绍升级 Flink 版本需要注意的一些变化。 我们鼓励用户下载试用新版 Flink[1]并且通过邮件列表[2]和 JIRA[3]来反馈遇到的问题。 一、重要特性 被动扩缩容 Flink 项目的一个...
- 下一篇
Google 将 RSS 阅读器集成进 Chrome 浏览器,Google Reader 后继有人
Google Reader(Google 阅读器)曾是 Google 旗下的一个基于网络的聚合器,能在线或者离线阅读 RSS。Google Reader 于 2005 年发布,由于 Google Reader 用户数量逐年下降,Google 于 2013 年 7 月 1 日终止服务。 如今,Google 开始在 Chrome 浏览器上测试新的「关注」功能,将 RSS 阅读器的功能重新带回用户视野。 当用户在浏览网页时,点击 Chrome 菜单栏后,Chrome 就会显示一个「Follow/关注」按钮。它出现在弹出菜单的最底部,其中还包括网站的图标和名称(如下图所示)。一旦点击关注,来自该网站的新内容将作为「Following」标签的一部分出现在新标签页中,该标签会展示封面图片、标题,并显示发布时间。 与 Chrome 浏览器原本的 Discover 页面相比,Discover 仅仅是基于话题展示来自各个不同网站的相似内容或你可能感兴趣的内容,新的 Following 页面则是呈现用户主动选择的网站。 Chrome 团队希望在出版商/网站和读者之间建立更深的联系,同时使访问你最喜欢的网站...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- CentOS关闭SELinux安全模块
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS7设置SWAP分区,小内存服务器的救世主
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7