開源最前線 發表於 2020-12-15 17:52:17
當開發人員或組織將新的開源依賴項引入其生產軟體時,你很難知道這個軟體包的安全性有多高。 某些企業/組織擁有合適的系統和流程,開發者們在引入新的開原始碼依賴項時必須嚴格遵守這些流程規範,但是該流程可能很繁瑣,手動還容易出錯,此外,這些項目和開發人員中的許多人都受到資源的限制,對安全性的重視度不夠,這將直接導致項目沒法遵循良好的安全實踐,從而容易遭受攻擊。
為了解決以上問題,谷歌開發了名為「Scorecards」的新項目,並在上周由開源安全基金會 (OpenSSF) 宣布開源。 自2020年8月成立以來,Scorecards是OpenSSF下發布的首批項目之一。Scorecards旨在為開源項目自動生成「安全評分」,從而幫助用戶評估該項目的可信度、風險係數和安全係數等。Scorecards定義了初始評估標準,該標準將以完全自動化的方式為開源項目打分。Scorecards使用的評估指標包括定義明確的安全策略,每個安全檢查返回一個布爾值以及信任度分數。以後,谷歌將通過OpenSSF的社區貢獻來改進這些指標。 Scorecards詳細的檢查標準如下所示:
運行Scorecards,你只需要一個參數,那就是倉庫名稱:
$ go build $ ./scorecard --repo=github.com/kubernetes/kubernetes Starting [Active] Starting [CI-Tests] Starting [CII-Best-Practices] Starting [Code-Review] Starting [Contributors] Starting [Frozen-Deps] Starting [Fuzzing] Starting [Pull-Requests] Starting [SAST] Starting [Security-Policy] Starting [Signed-Releases] Starting [Signed-Tags] Finished [Fuzzing] Finished [CII-Best-Practices] Finished [Frozen-Deps] Finished [Security-Policy] Finished [Contributors] Finished [Signed-Releases] Finished [Signed-Tags] Finished [CI-Tests] Finished [SAST] Finished [Code-Review] Finished [Pull-Requests] Finished [Active] RESULTS ------- Active: Pass 10 CI-Tests: Pass 10 CII-Best-Practices: Pass 10 Code-Review: Pass 10 Contributors: Pass 10 Frozen-Deps: Pass 10 Fuzzing: Pass 10 Pull-Requests: Pass 10 SAST: Fail 0 Security-Policy: Pass 10 Signed-Releases: Fail 10 Signed-Tags: Fail 5
建議使用OAuth授權避免速率限制,你可以按照說明創建一個,將訪問指令設置為環境變量:
export GITHUB_AUTH_TOKEN=
如果你也對Scorecard感興趣,不妨嘗試一下。
原文標題:谷歌又開源一項神器,用開源項目的人都需要
文章出處:【微信公眾號:人工智慧與大數據技術】歡迎添加關注!文章轉載請註明出處。
責任編輯:haq
打開APP閱讀更多精彩內容
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容圖片侵權或者其他問題,請聯繫本站作侵刪。 侵權投訴