谷歌又开源一项神器:Scorecards
当开发人员或组织将新的开源依赖项引入其生产软件时,你很难知道这个软件包的安全性有多高。 某些企业/组织拥有合适的系统和流程,开发者们在引入新的开源代码依赖项时必须严格遵守这些流程规范,但是该流程可能很繁琐,手动还容易出错,此外,这些项目和开发人员中的许多人都受到资源的限制,对安全性的重视度不够,这将直接导致项目没法遵循良好的安全实践,从而容易遭受攻击。
为了解决以上问题,谷歌开发了名为“scorecards”的新项目,并在上周由开源安全基金会 (openssf) 宣布开源。 自2020年8月成立以来,scorecards是openssf下发布的首批项目之一。scorecards旨在为开源项目自动生成“安全评分”,从而帮助用户评估该项目的可信度、风险系数和安全系数等。scorecards定义了初始评估标准,该标准将以完全自动化的方式为开源项目打分。scorecards使用的评估指标包括定义明确的安全策略,每个安全检查返回一个布尔值以及信任度分数。以后,谷歌将通过openssf的社区贡献来改进这些指标。 scorecards详细的检查标准如下所示:
运行scorecards,你只需要一个参数,那就是仓库名称:
$ go build $ ./scorecard --repo=github.com/kubernetes/kubernetes starting [active] starting [ci-tests] starting [cii-best-practices] starting [code-review] starting [contributors] starting [frozen-deps] starting [fuzzing] starting [pull-requests] starting [sast] starting [security-policy] starting [signed-releases] starting [signed-tags] finished [fuzzing] finished [cii-best-practices] finished [frozen-deps] finished [security-policy] finished [contributors] finished [signed-releases] finished [signed-tags] finished [ci-tests] finished [sast] finished [code-review] finished [pull-requests] finished [active] results ------- active: pass 10 ci-tests: pass 10 cii-best-practices: pass 10 code-review: pass 10 contributors: pass 10 frozen-deps: pass 10 fuzzing: pass 10 pull-requests: pass 10 sast: fail 0 security-policy: pass 10 signed-releases: fail 10 signed-tags: fail 5
建议使用oauth授权避免速率限制,你可以按照说明创建一个,将访问指令设置为环境变量:
export github_auth_token=
如果你也对scorecard感兴趣,不妨尝试一下。
原文标题:谷歌又开源一项神器,用开源项目的人都需要
文章出处:【微信公众号:人工智能与大数据技术】欢迎添加关注!文章转载请注明出处。
戴尔推出超大屏生产力办公设备 将在4月10日开始发货
电视不是越贵越好,4个原则才是关键
总投资300亿!又一芯片项目落地湖南!
AI审核出问题 微软Bing被曝有大量与儿童色情内容有关的关键字
安捷伦详解无线干扰的测量技术
谷歌又开源一项神器:Scorecards
电阻器质量判别方法
搭载自主研发芯片,小米5c惊艳发布!又该有米粉欢呼了!
基于一种拓展模拟采样通道数的方法
如何为车辆装上智慧的大脑
智能家居弱电布线基础知识解析
国民技术Z32H330TC通过密码模块产品认证
单片音响功放集成电路TDA7294构成的100W功率放大器
踢球也能发电:Ubcharted Play推出Soccket两用台灯
华为E-BAND微波助力波兰Orange提速移动承载网
电源模块有哪几种
工作996生病ICU,这个项目来真的了!
怎么选择MOS管的尺寸大小和电压?
ADI高性能数据转换技术亮相IIC china 2011
c语言宏定义的使用方法
为了解决以上问题,谷歌开发了名为“scorecards”的新项目,并在上周由开源安全基金会 (openssf) 宣布开源。 自2020年8月成立以来,scorecards是openssf下发布的首批项目之一。scorecards旨在为开源项目自动生成“安全评分”,从而帮助用户评估该项目的可信度、风险系数和安全系数等。scorecards定义了初始评估标准,该标准将以完全自动化的方式为开源项目打分。scorecards使用的评估指标包括定义明确的安全策略,每个安全检查返回一个布尔值以及信任度分数。以后,谷歌将通过openssf的社区贡献来改进这些指标。 scorecards详细的检查标准如下所示:
运行scorecards,你只需要一个参数,那就是仓库名称:
$ go build $ ./scorecard --repo=github.com/kubernetes/kubernetes starting [active] starting [ci-tests] starting [cii-best-practices] starting [code-review] starting [contributors] starting [frozen-deps] starting [fuzzing] starting [pull-requests] starting [sast] starting [security-policy] starting [signed-releases] starting [signed-tags] finished [fuzzing] finished [cii-best-practices] finished [frozen-deps] finished [security-policy] finished [contributors] finished [signed-releases] finished [signed-tags] finished [ci-tests] finished [sast] finished [code-review] finished [pull-requests] finished [active] results ------- active: pass 10 ci-tests: pass 10 cii-best-practices: pass 10 code-review: pass 10 contributors: pass 10 frozen-deps: pass 10 fuzzing: pass 10 pull-requests: pass 10 sast: fail 0 security-policy: pass 10 signed-releases: fail 10 signed-tags: fail 5
建议使用oauth授权避免速率限制,你可以按照说明创建一个,将访问指令设置为环境变量:
export github_auth_token=
如果你也对scorecard感兴趣,不妨尝试一下。
原文标题:谷歌又开源一项神器,用开源项目的人都需要
文章出处:【微信公众号:人工智能与大数据技术】欢迎添加关注!文章转载请注明出处。
戴尔推出超大屏生产力办公设备 将在4月10日开始发货
电视不是越贵越好,4个原则才是关键
总投资300亿!又一芯片项目落地湖南!
AI审核出问题 微软Bing被曝有大量与儿童色情内容有关的关键字
安捷伦详解无线干扰的测量技术
谷歌又开源一项神器:Scorecards
电阻器质量判别方法
搭载自主研发芯片,小米5c惊艳发布!又该有米粉欢呼了!
基于一种拓展模拟采样通道数的方法
如何为车辆装上智慧的大脑
智能家居弱电布线基础知识解析
国民技术Z32H330TC通过密码模块产品认证
单片音响功放集成电路TDA7294构成的100W功率放大器
踢球也能发电:Ubcharted Play推出Soccket两用台灯
华为E-BAND微波助力波兰Orange提速移动承载网
电源模块有哪几种
工作996生病ICU,这个项目来真的了!
怎么选择MOS管的尺寸大小和电压?
ADI高性能数据转换技术亮相IIC china 2011
c语言宏定义的使用方法