开源安全基金会 (OpenSSF)、GitHub 和谷歌周三宣布推出记分卡 V4,其中包括更大的扩展性、新的安全检查和新的记分卡 GitHub 操作,以简化安全自动化。
OpenSSF 于 2020 年 11 月推出了记分卡,创建了一种自动化安全工具,可为开源项目生成"风险评分",并有助于减少在维护项目供应链时不断评估不断变化的软件包所需的辛勤工作和人工工作。
自 Google 和 OpenSSF 于 2021 年 7 月发布记分卡 V2 以来,记分卡项目已稳步增长到 40 多个独特的贡献者和 18 个实施的安全检查。
与 GitHub 合作发布的记分卡操作自动化了如何判断项目更改是否影响其安全性的过程。以前,此类任务必须手动完成。
Action 可从 GitHub 的 Marketplace 获得,并且可以免费使用。按照这些说明,它可以安装在任何公共存储库中 。
"自从我们 7 月发布 记分卡 V2 以来,记分卡项目------一种用于标记开源项目中风险供应链实践的自动化安全工具------已稳步增长到 40 多个独特的贡献者和 18 项实施的安全检查。今天我们很自豪地宣布 V4 Google 开源安全团队成员 Laurent Simon 和 Azeem Shaikh说:
"记分卡操作是与 GitHub 合作发布的,可从 GitHub 的 Marketplace获得。该操作使使用记分卡比以往任何时候都更容易:它会在存储库更改时自动运行,以提醒开发人员注意有风险的供应链实践。维护人员可以查看 GitHub 代码上的警报扫描仪表板,可免费用于 GitHub.com 上的公共存储库,也可通过 GitHub Advanced Security 获取私有存储库。"
两人补充说,他们已将每周记分卡扫描扩展到超过一百万个
开源安全基金会在一篇博文中解释说,尽管世界运行在开源软件上,但许多开源项目 至少会参与一种危险行为 ------比如不启用分支保护、不固定依赖项或不启用自动依赖项更新.
"记分卡使在使用之前评估包变得简单:使用单行代码运行的扫描会返回从 0 到 10 的各个分数,为项目的每个单独的安全实践("检查")评分,以及项目总体的总分安全性。今天发布的记分卡 GitHub Action 使开发人员比以往任何时候都更容易掌握他们的安全状况,"该组织表示。
"新的 记分卡 GitHub Action 可自动执行此过程:安装后,Action 会在任何存储库更改后运行记分卡扫描。维护人员可以在 GitHub 的扫描仪表板中查看安全警报,并修复更改引入的任何有风险的供应链实践。"
现在,所有警报都将包括风险的严重性、发生问题的文件和行以及修复问题的补救步骤。最新版本还添加了许可证检查,用于检测项目许可证的存在,以及 危险工作流检查, 用于检测 pull_request_target 触发器 的危险使用以及GitHub 工作流中脚本注入的风险。
许多开源项目已经采用了记分卡行动,包括 Envoy、 distroless、 cosign、 rekor、 kaniko。
"记分卡使我们能够快速测试 Envoy 项目中的新依赖项,"Envoy 的 Harvey Tuch 说。
"我们发现这是审查已知属性的新依赖项的重要一步,我们已将记分卡集成到我们的依赖项接受标准中。机器可检查的属性是健全安全流程的重要组成部分。"