(Açık) kaynak kodu için daha fazla güvenlik: OpenSSF yönergeleri yayınlıyor
Açık Kaynak Güvenliği Vakfı (OpenSSF), Kaynak Kodu Yönetimi için En İyi Uygulamalar Kılavuzunu yayınladı. GitHub ve GitLab gibi sürüm yönetimi platformlarında projelerin güvenliğinin sağlanmasına yardımcı olmayı amaçlayan önlemleri ve araçları açıklar.
Duyuru
Kılavuz hem yazılım geliştiricilere hem de güvenlik ekiplerine yöneliktir. Ana hedef grup proje yöneticileridir.
Kendi üretim araçları
Araçlar altında, depolardaki yanlış yapılandırmaları ve güvenlik sorunlarını tespit etmeye yardımcı olmayı amaçlayan üç araç bulacaksınız. Bunlardan ikisi OpenSSF açık kaynak projeleridir.
Allstar, GitHub bulut depolarını yanlış yapılandırmalar ve politika uyumluluğu açısından düzenli olarak izler. Puan Kartı aracı, GitHub ve GitLab depoları için sezgisel tabanlı bir risk puanı oluşturur. Listedeki üçüncü açık kaynaklı araç Legit Security tarafından Legitify’dır. GitLab ve GitHub’daki depoların kapsamlı bir denetimini gerçekleştirir.
GitHub ve GitLab için öneriler
Kılavuzun merkezinde, veri havuzu yönetiminden erişim kontrolüne ve CI/CD (Sürekli Entegrasyon, Sürekli Teslimat) süreçlerine kadar çeşitli yönlere yönelik öneriler yer almaktadır. Listede genel bilgilerin yanı sıra GitHub ve GitLab için özel öneriler de yer alıyor.
Listede ayrıca iki faktörlü kimlik doğrulamayla oturum açma ve varsayılan dal için düzenli kod incelemeleri gibi en iyi uygulamaların yanı sıra maksimum üç sahip ve en az iki kod inceleyici gibi sınırlar da gösterilir. Kılavuz aynı zamanda veri havuzları için en az üç ayda bir güncelleme gibi zaman aralıkları da önermektedir.
Alt öğelerin bağlantılı ayrıntı sayfaları, ilgili politikanın ihlali durumunda GitHub veya GitLab’daki karşı önlemlerin ciddiyetini ve talimatlarını listeler.
Ayrıntılar sayfası GitLab’da 2FA kullanımının nasıl zorunlu kılınacağını gösterir.
Özetle açık kaynaklı yazılım güvenliği
Linux Vakfı, açık kaynaklı yazılımların güvenliğini artırmak için OpenSSF 2020’yi başlattı. Kuruluş, diğerlerinin yanı sıra Scorecard ve Allstar gibi araçlar sağlıyor. Ayrıca açık kaynak kuruluşlarına güvenliklerini artırabilmeleri için mali destek sağlar. Node.js başlangıçta 300.000 ABD doları aldı ve Eclipse Vakfı ve Python Yazılım Vakfı’nın her biri 400.000 ABD doları fon aldı.
Kaynak Kodu Yönetimi En İyi Uygulamalar Kılavuzu hakkında daha fazla ayrıntıyı Açık Kaynak Güvenliği Vakfı blog gönderisinde bulabilirsiniz. Kılavuz tam bir PDF değil, basit bir web sitesidir.
(kendim)
Haberin Sonu