`

СПЕЦИАЛЬНІ
ПАРТНЕРИ
ПРОЕКТА

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Google обновила средство контроля безопасности кода проектов Open Source

0 
 

Согласно новому отчету Центра исследований кибербезопасности Synopsys (CyRC), 95% всех коммерческих программ содержат компоненты с открытым исходным кодом. При этом лишь у немногих организаций имеются нужные ресурсы для проверки новых зависимостей Open Source на наличие проблем. Такая проверка обычно выполняется вручную, отнимает много времени и подвержена ошибкам.

Google и Open Source Security Foundation (OSSF) обещают быстрое и простое решение этой проблемы с выпуском второй версии Scorecards — автоматизированного инструмента, который определяет «показатель риска» для программ с открытым исходным кодом. Его существенно переработанная архитектура теперь использует модель Pub/Sub для улучшения горизонтальной масштабируемости и повышения производительности.

Во второй версии добавились новые проверки:

  • Branch-Protection контролирует обязательность обзора кода другим разработчиком перед его фиксацией в проекте.

  • Binary-Artifacts применяется для проверки содержимого двоичных файлов в проекте.

  • Frozen-Deps ищет вредоносные зависимости, защищая от таких атак, как недавняя CodeCov.

  • Automated-Dependency-Update контролирует применение разработчиками инструментов, таких как likendependabot или renovatebot, для проверки и обновления зависимостей.

  • Vulnerabilities предоставит информацию об уязвимостях в проекте без подписки на систему оповещения об уязвимостях.

  • Token-Permissions контролирует, чтобы рабочие процессы GitHub по умолчанию делали токены GitHub доступными только для чтения (это снижает риск получения по особому pull-запросу привилегированного токена GitHub для отправки вредоносного кода в репозиторий без проверки).

  • Scorecards также проверяет, использует ли проект инструменты фаззинга и SAST в составе своего конвейера CI/CD.

К настоящему времени с помощью Scorecards уже проведена оценка безопасности для более 50 тысяч проектов с открытым исходным кодом.

Информация по всем проектам, проанализированным с помощью Scorecards, предоставляется в еженедельно обновляемом публичном наборе данных BigQuery, в новых проектах Google Open Source Insights и OpenSSF Security Metrics. Необработанные данные в формате CSV можно исследовать с помощью популярных инструментов анализа и визуализации, таких как Google Data Studio.

В перспективе команда планирует добавить значки соответствия Scorecards GitHub Badges, интеграцию с CI/CD и с GitHub Code Scanning Results, а также с Allstar — приложение GitHub для обеспечения соблюдения политик безопасности. Кроме того, проект рассчитывает на получение обратной связи: какие проверки пользователи желали бы увидеть в следующей версии Scorecards.

Де і як компаніям необхідно укріпити свій захист

0 
 

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT