當(dāng)開發(fā)人員或組織將新的開源依賴項(xiàng)引入其生產(chǎn)軟件時(shí)，你很難知道這個(gè)軟件包的安全性有多高。 某些企業(yè)/組織擁有合適的系統(tǒng)和流程，開發(fā)者們在引入新的開源代碼依賴項(xiàng)時(shí)必須嚴(yán)格遵守這些流程規(guī)范，但是該流程可能很繁瑣，手動(dòng)還容易出錯(cuò)，此外，這些項(xiàng)目和開發(fā)人員中的許多人都受到資源的限制，對安全性的重視度不夠，這將直接導(dǎo)致項(xiàng)目沒法遵循良好的安全實(shí)踐，從而容易遭受攻擊。

為了解決以上問題，谷歌開發(fā)了名為“Scorecards”的新項(xiàng)目，并在上周由開源安全基金會(huì) (OpenSSF) 宣布開源。 自2020年8月成立以來，Scorecards是OpenSSF下發(fā)布的首批項(xiàng)目之一。Scorecards旨在為開源項(xiàng)目自動(dòng)生成“安全評(píng)分”，從而幫助用戶評(píng)估該項(xiàng)目的可信度、風(fēng)險(xiǎn)系數(shù)和安全系數(shù)等。Scorecards定義了初始評(píng)估標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)將以完全自動(dòng)化的方式為開源項(xiàng)目打分。Scorecards使用的評(píng)估指標(biāo)包括定義明確的安全策略，每個(gè)安全檢查返回一個(gè)布爾值以及信任度分?jǐn)?shù)。以后，谷歌將通過OpenSSF的社區(qū)貢獻(xiàn)來改進(jìn)這些指標(biāo)。 Scorecards詳細(xì)的檢查標(biāo)準(zhǔn)如下所示：

運(yùn)行Scorecards，你只需要一個(gè)參數(shù)，那就是倉庫名稱：

$gobuild $./scorecard--repo=github.com/kubernetes/kubernetes Starting[Active] Starting[CI-Tests] Starting[CII-Best-Practices] Starting[Code-Review] Starting[Contributors] Starting[Frozen-Deps] Starting[Fuzzing] Starting[Pull-Requests] Starting[SAST] Starting[Security-Policy] Starting[Signed-Releases] Starting[Signed-Tags] Finished[Fuzzing] Finished[CII-Best-Practices] Finished[Frozen-Deps] Finished[Security-Policy] Finished[Contributors] Finished[Signed-Releases] Finished[Signed-Tags] Finished[CI-Tests] Finished[SAST] Finished[Code-Review] Finished[Pull-Requests] Finished[Active] RESULTS ------- Active:Pass10 CI-Tests:Pass10 CII-Best-Practices:Pass10 Code-Review:Pass10 Contributors:Pass10 Frozen-Deps:Pass10 Fuzzing:Pass10 Pull-Requests:Pass10 SAST:Fail0 Security-Policy:Pass10 Signed-Releases:Fail10 Signed-Tags:Fail5

建議使用OAuth授權(quán)避免速率限制，你可以按照說明創(chuàng)建一個(gè)，將訪問指令設(shè)置為環(huán)境變量：

exportGITHUB_AUTH_TOKEN=

如果你也對Scorecard感興趣，不妨嘗試一下。

原文標(biāo)題：谷歌又開源一項(xiàng)神器，用開源項(xiàng)目的人都需要

文章出處：【微信公眾號(hào)：人工智能與大數(shù)據(jù)技術(shù)】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

責(zé)任編輯：haq