Jonathan Greig er journalist baseret i New York City.
Fuld bio den 19. januar 2022 | Emne: Google
Open Source Security Foundation (OpenSSF), GitHub og Google annoncerede onsdag lanceringen af Scorecards V4, som inkluderer større skalering, et nyt sikkerhedstjek og en ny Scorecards GitHub Action for lettere sikkerhedsautomatisering.
OpenSSF lancerede scorekortene i november 2020 og skabte et automatiseret sikkerhedsværktøj, der producerer en “risikoscore” for open source-projekter og hjælper med at reducere det slid og den manuelle indsats, der kræves for løbende at evaluere skiftende pakker, når et projekts forsyningskæde vedligeholdes.
< p>Siden Google og OpenSSF's annoncering af Scorecards V2 i juli 2021 er Scorecards-projektet vokset støt til over 40 unikke bidragydere og 18 implementerede sikkerhedstjek.
Scorecards Action, der er udgivet i samarbejde med GitHub, automatiserer processen med hvordan at vurdere, om ændringer af et projekt påvirkede dets sikkerhed. Tidligere skulle opgaver som denne udføres manuelt.
Handlingen er tilgængelig fra GitHubs markedsplads og er gratis at bruge. Det kan installeres på ethvert offentligt lager ved at følge disse anvisninger.
“Siden vores juli-annoncering af Scorecards V2, er Scorecards-projektet – et automatiseret sikkerhedsværktøj til at markere risikabel forsyningskædepraksis i open source-projekter – vokset støt til over 40 unikke bidragydere og 18 implementerede sikkerhedstjek. I dag er vi stolte over at kunne annoncere V4’en frigivelse af Scorecards, med større skalering, et nyt sikkerhedstjek og en ny Scorecards GitHub Action for lettere sikkerhedsautomatisering,” sagde medlemmerne af Google Open Source Security Team Laurent Simon og Azeem Shaikh.
“Scorecards Action udgives i samarbejde med GitHub og er tilgængelig fra GitHub's Marketplace. Actionen gør brugen af Scorecards nemmere end nogensinde: Den kører automatisk på lagerændringer for at advare udviklere om risikable forsyningskædepraksis. Vedligeholdere kan se advarslerne på GitHubs kode scanningsdashboard, som er tilgængeligt gratis for offentlige depoter på GitHub.com og via GitHub Advanced Security for private depoter.”
De to tilføjede, at de har skaleret deres ugentlige Scorecard-scanninger til over en million GitHub-lagre og indgået partnerskab med Open Source Insights-webstedet for nem brugeradgang til dataene.
Open Source Security Foundation forklaret i et blogindlæg at selvom verden kører på open source-software, engagerer mange open source-projekter sig i mindst én risikabel adfærd – som ikke at aktivere filialbeskyttelse, ikke fastgøre afhængigheder eller ikke aktivere automatiske afhængighedsopdateringer.
“Scorecards gør det nemt at evaluere en pakke, før den forbruges: en scanning med en enkelt kodelinje returnerer individuelle scores fra 0 til 10, der vurderer hver enkelt sikkerhedspraksis (“checks”) for projektet og en samlet score for projektets overordnede karakter. sikkerhed. Dagens udgivelse af en Scorecards GitHub Action gør det nemmere end nogensinde for udviklere at holde sig på toppen af deres sikkerhedsposition,” sagde organisationen.
“Den nye Scorecards GitHub Action automatiserer denne proces: Når den er installeret, kører Action en Scorecards-scanning efter enhver lagerændring. Vedligeholdere kan se sikkerhedsadvarsler i GitHubs scanningsdashboard og afhjælpe enhver risikofyldt forsyningskædepraksis, der er introduceret af ændringen.”
Alle advarslerne vil nu omfatte alvorligheden af risikoen, filen og linjen, hvor problemet opstår, og afhjælpningstrinene for at løse problemet. Den seneste udgivelse tilføjer også licenskontrollen, som registrerer tilstedeværelsen af en projektlicens, og Dangerous-Workflow-kontrollen, som registrerer farlig brug af pull_request_target triggeren og risici for script-injektioner i GitHub-arbejdsgange.
A antallet af open source-projekter har allerede vedtaget Scorecards Action, herunder Envoy, distroless, cosign, rekor, kaniko.
“Scorecards giver os muligheden for hurtigt at teste nye afhængigheder i Envoy-projektet,” sagde Envoy's Harvey Tuch.
“Vi har fundet dette et værdifuldt skridt i at undersøge nye afhængigheder for velkendte attributter, og vi har integreret Scorecards i vores afhængighedsacceptkriterier. Maskintjekbare egenskaber er en væsentlig del af en forsvarlig sikkerhedsproces.”
Sikkerhed
Microsoft: Ny browserfunktion er 'enormt fremskridt' mod nul-dagstrusler Hvordan teknologi er et våben i moderne misbrug i hjemmet – og hvordan du beskytter dig selv Linux malware er stigende. Her er tre toptrusler lige nu Den bedste antivirussoftware og -apps: Hold din pc, telefon og tablet sikker Open Source | Sky | Mobilitet | Enterprise Software | Kunstig intelligens | Hardware