0 |
Согласно новому отчету Центра исследований кибербезопасности Synopsys (CyRC), 95% всех коммерческих программ содержат компоненты с открытым исходным кодом. При этом лишь у немногих организаций имеются нужные ресурсы для проверки новых зависимостей Open Source на наличие проблем. Такая проверка обычно выполняется вручную, отнимает много времени и подвержена ошибкам.
Google и Open Source Security Foundation (OSSF) обещают быстрое и простое решение этой проблемы с выпуском второй версии Scorecards — автоматизированного инструмента, который определяет «показатель риска» для программ с открытым исходным кодом. Его существенно переработанная архитектура теперь использует модель Pub/Sub для улучшения горизонтальной масштабируемости и повышения производительности.
Во второй версии добавились новые проверки:
-
Branch-Protection контролирует обязательность обзора кода другим разработчиком перед его фиксацией в проекте.
-
Binary-Artifacts применяется для проверки содержимого двоичных файлов в проекте.
-
Frozen-Deps ищет вредоносные зависимости, защищая от таких атак, как недавняя CodeCov.
-
Automated-Dependency-Update контролирует применение разработчиками инструментов, таких как likendependabot или renovatebot, для проверки и обновления зависимостей.
-
Vulnerabilities предоставит информацию об уязвимостях в проекте без подписки на систему оповещения об уязвимостях.
-
Token-Permissions контролирует, чтобы рабочие процессы GitHub по умолчанию делали токены GitHub доступными только для чтения (это снижает риск получения по особому pull-запросу привилегированного токена GitHub для отправки вредоносного кода в репозиторий без проверки).
-
Scorecards также проверяет, использует ли проект инструменты фаззинга и SAST в составе своего конвейера CI/CD.
К настоящему времени с помощью Scorecards уже проведена оценка безопасности для более 50 тысяч проектов с открытым исходным кодом.
Информация по всем проектам, проанализированным с помощью Scorecards, предоставляется в еженедельно обновляемом публичном наборе данных BigQuery, в новых проектах Google Open Source Insights и OpenSSF Security Metrics. Необработанные данные в формате CSV можно исследовать с помощью популярных инструментов анализа и визуализации, таких как Google Data Studio.
В перспективе команда планирует добавить значки соответствия Scorecards GitHub Badges, интеграцию с CI/CD и с GitHub Code Scanning Results, а также с Allstar — приложение GitHub для обеспечения соблюдения политик безопасности. Кроме того, проект рассчитывает на получение обратной связи: какие проверки пользователи желали бы увидеть в следующей версии Scorecards.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |