Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 19 januari 2022 | Ämne: Google
Open Source Security Foundation (OpenSSF), GitHub och Google tillkännagav på onsdagen lanseringen av Scorecards V4, som inkluderar större skalning, en ny säkerhetskontroll och en ny Scorecards GitHub Action för enklare säkerhetsautomatisering.
OpenSSF lanserade styrkorten i november 2020, och skapade ett automatiserat säkerhetsverktyg som producerar en “riskpoäng” för projekt med öppen källkod och hjälper till att minska mödan och den manuella ansträngningen som krävs för att kontinuerligt utvärdera paket som ändras när ett projekts försörjningskedja underhålls.
< p>Sedan Google och OpenSSF tillkännagav Scorecards V2 i juli 2021, har Scorecards-projektet växt stadigt till över 40 unika bidragsgivare och 18 implementerade säkerhetskontroller.
Scorecards Action, släppt i samarbete med GitHub, automatiserar processen för hur att bedöma om ändringar i ett projekt påverkade dess säkerhet. Tidigare behövde sådana uppgifter göras manuellt.
Åtgärden är tillgänglig från GitHubs Marketplace och är gratis att använda. Den kan installeras på alla offentliga lagringsplatser genom att följa de här anvisningarna.
“Sedan vårt juli tillkännagivande av Scorecards V2, har Scorecards-projektet – ett automatiserat säkerhetsverktyg för att flagga riskabla leveranskedjepraxis i projekt med öppen källkod – vuxit stadigt till över 40 unika bidragsgivare och 18 implementerade säkerhetskontroller. Idag är vi stolta över att presentera V4:an lansering av Scorecards, med större skalning, en ny säkerhetskontroll och en ny Scorecards GitHub Action för enklare säkerhetsautomatisering”, säger medlemmarna i Google Open Source Security Team Laurent Simon och Azeem Shaikh.
“Scorecards Action släpps i samarbete med GitHub och är tillgänglig från GitHubs Marketplace. Action gör det enklare än någonsin att använda Scorecards: den körs automatiskt på förvarsändringar för att varna utvecklare om riskfyllda försörjningskedjan. Underhållare kan se varningarna på GitHubs kod scanning dashboard, som är tillgänglig gratis för offentliga arkiv på GitHub.com och via GitHub Advanced Security för privata arkiv.”
De två tillade att de har skalat sina veckovisa Scorecards-skanningar till över en miljon GitHub-förråd och samarbetar med webbplatsen Open Source Insights för enkel användaråtkomst till data.
The Open Source Security Foundation förklarade i ett blogginlägg att även om världen körs på programvara med öppen källkod, engagerar många projekt med öppen källkod minst ett riskbeteende – som att inte aktivera filialskydd, inte fästa beroenden eller att inte aktivera automatiska beroendeuppdateringar.
“Scorecards gör det enkelt att utvärdera ett paket innan det konsumeras: en skanningskörning med en enda rad kod returnerar individuella poäng från 0 till 10 betyg för varje enskild säkerhetspraxis (“checkar”) för projektet och en sammanlagd poäng för projektets övergripande säkerhet. Dagens utgivning av en Scorecards GitHub Action gör det enklare än någonsin för utvecklare att hålla koll på sin säkerhetsställning, säger organisationen.
“Den nya Scorecards GitHub Action automatiserar den här processen: när den har installerats kör Action en Scorecards-skanning efter varje ändring av lagringsutrymmet. Underhållare kan se säkerhetsvarningar i GitHubs skanningsinstrumentpanel och åtgärda alla riskfyllda rutiner för leveranskedjan som införts av ändringen.”
Alla varningar kommer nu att inkludera riskens svårighetsgrad, filen och raden där problemet uppstår och åtgärderna för att åtgärda problemet. Den senaste versionen lägger också till licenskontrollen, som upptäcker närvaron av en projektlicens, och Dangerous-Workflow-kontrollen, som upptäcker farlig användning av utlösaren pull_request_target och risker för skriptinjektioner i GitHub-arbetsflöden.
A Antalet projekt med öppen källkod har redan antagit Scorecards Action, inklusive Envoy, distroless, cosign, rekor, kaniko.
“Scorecards ger oss möjligheten att snabbt lackmustesta nya beroenden i Envoy-projektet”, säger Envoys Harvey Tuch.
“Vi har funnit att detta är ett värdefullt steg för att kontrollera nya beroenden för välkända attribut och vi har integrerat Scorecards i våra beroendeacceptanskriterier. Maskinkontrollerbara egenskaper är en viktig del av en sund säkerhetsprocess.”
Säkerhet
Microsoft: Ny webbläsarfunktion är ett “stort steg framåt” mot nolldagarshot Hur teknik är ett vapen i modern missbruk i hemmet – och hur du skyddar dig själv Linux skadlig programvara ökar. Här är tre främsta hot just nu. De bästa antivirusprogramvaran och apparna: Håll din dator, telefon och surfplatta säker med öppen källkod | Moln | Rörlighet | Företagsprogramvara | Artificiell intelligens | Hårdvara