谷歌加大对开源软件安全风险评分的计划
谷歌和开源安全基金会 ( OpenSSF ) 宣布了对记分卡的重大更新,记分卡是一种自动安全工具,可根据多标准评估为开源项目生成“风险评分” 。OpenSSF 去年秋天启动了记分卡项目,以评估和识别开源项目中的安全弱点。
“今天,我们与开源安全基金会社区合作,发布了记分卡 v2。我们添加了新的安全检查,扩大了被评分项目的数量,并使这些数据易于访问以进行分析,”谷歌开源安全团队的成员在一篇博文中写道。
TECHRADAR 需要您!
我们正在研究我们的读者如何将 VPN 与 Netflix 等流媒体网站结合使用,以便我们改进内容并提供更好的建议。此调查不会占用您超过 60 秒的时间,您还可以选择参加抽奖活动以赢取价值 100 美元的亚马逊代金券或五个 1 年期 ExpressVPN 订阅之一。
据谷歌称,Scorecards 项目迄今已评估了 50,000 多个开源项目的安全标准。事实上,这些数据被最近宣布的 Google Open Source Insights 项目使用,也作为OpenSSF Security Metrics 项目的一部分展示。
随着对开源软件依赖性的增加,记分卡项目被概念化以帮助减少维护经过消毒的软件供应链所需的工作。
为此,在谷歌今年早些时候提出的“了解、预防、修复”框架之后,添加了几项新检查。
Scorecards v2 现在可以在提交代码之前验证项目是否强制执行其他开发人员的强制性安全审查。该工具的新版本还可以检查项目是否使用 Fuzzing 和 SAST 工具作为其 CI/CD 系统的一部分,因为这些可用于在开发生命周期的早期捕获错误。
Google 开发人员在研究 Scorecard v2 中的新功能时注意到,这些工具的令牌权限预防检查现在通过将 GitHub 令牌设置为只读来验证 GitHub 工作流是否遵循最小权限原则。
根据最近的一项调查,开源项目中的漏洞对所有企业都构成了巨大的安全威胁,而记分卡 v2 将有助于在软件成为依赖项之前标记任何问题。