面對日益增多的針對開源軟件的攻擊,大公司正在介入,用免費的服務和工具幫助開發者提高網絡安全。Google為開發者發布了一個新的工具,該工具可以自動保護項目的過程,並驗證屬性,以確保項目的安全性沒有受到影響。這個新的安全工具被稱為AllStars,旨在運行測試以確定關鍵方面是否被改變。
Google AllStars工程負責人Jeff Mendoza表示,AllStars與另一個名為Scorecard的Google工具相結合,為項目維護者提供了保護。如果開發者願意,他們可以使用Scorecard來評估他們的情況,然後用AllStars自動執行適當的政策。
根據18個不同的標準,Scorecard對項目進行評估,例如它們是否自動更新依賴關係,是否積極維護,以及是否採用自動漏洞發現方法來識別容易發現的缺陷。
根據OpenSSF的公告,Google在周一提供了這個工具,作為維護一個任何人都可以使用的AllStar實例的努力的一部分。該軟件跟蹤GitHub倉庫並檢查項目,以確保沒有不需要的改動。配置設置與項目的安全策略進行比較,如果不匹配,可以採取應對措施。
Mendoza說:”隨着開源的巨大普及,攻擊者將被破壞的開發中的項目視為滲透到封閉和開放系統的一種方式。由於很少有實時運行的開源安全系統,在攻擊面向供應鏈方面的時候就會變得非常兇險:要麼代碼庫容易被破壞,要麼在代碼和項目會被建立並在其他系統上使用的地方注入一個破壞性因素。
了解更多:
https://openssf.org/blog/2021/08/11/introducing-the-allstar-github-app/