當開發(fā)人員或組織將新的開源依賴項引入其生產(chǎn)軟件時，你很難知道這個軟件包的安全性有多高。 某些企業(yè)/組織擁有合適的系統(tǒng)和流程，開發(fā)者們在引入新的開源代碼依賴項時必須嚴格遵守這些流程規(guī)范，但是該流程可能很繁瑣，手動還容易出錯，此外，這些項目和開發(fā)人員中的許多人都受到資源的限制，對安全性的重視度不夠，這將直接導致項目沒法遵循良好的安全實踐，從而容易遭受攻擊。

為了解決以上問題，谷歌開發(fā)了名為“Scorecards”的新項目，并在上周由開源安全基金會 (OpenSSF) 宣布開源。 自2020年8月成立以來，Scorecards是OpenSSF下發(fā)布的首批項目之一。Scorecards旨在為開源項目自動生成“安全評分”，從而幫助用戶評估該項目的可信度、風險系數(shù)和安全系數(shù)等。Scorecards定義了初始評估標準，該標準將以完全自動化的方式為開源項目打分。Scorecards使用的評估指標包括定義明確的安全策略，每個安全檢查返回一個布爾值以及信任度分數(shù)。以后，谷歌將通過OpenSSF的社區(qū)貢獻來改進這些指標。 Scorecards詳細的檢查標準如下所示：

運行Scorecards，你只需要一個參數(shù)，那就是倉庫名稱：

$gobuild $./scorecard--repo=github.com/kubernetes/kubernetes Starting[Active] Starting[CI-Tests] Starting[CII-Best-Practices] Starting[Code-Review] Starting[Contributors] Starting[Frozen-Deps] Starting[Fuzzing] Starting[Pull-Requests] Starting[SAST] Starting[Security-Policy] Starting[Signed-Releases] Starting[Signed-Tags] Finished[Fuzzing] Finished[CII-Best-Practices] Finished[Frozen-Deps] Finished[Security-Policy] Finished[Contributors] Finished[Signed-Releases] Finished[Signed-Tags] Finished[CI-Tests] Finished[SAST] Finished[Code-Review] Finished[Pull-Requests] Finished[Active] RESULTS ------- Active:Pass10 CI-Tests:Pass10 CII-Best-Practices:Pass10 Code-Review:Pass10 Contributors:Pass10 Frozen-Deps:Pass10 Fuzzing:Pass10 Pull-Requests:Pass10 SAST:Fail0 Security-Policy:Pass10 Signed-Releases:Fail10 Signed-Tags:Fail5

建議使用OAuth授權(quán)避免速率限制，你可以按照說明創(chuàng)建一個，將訪問指令設置為環(huán)境變量：

exportGITHUB_AUTH_TOKEN=

如果你也對Scorecard感興趣，不妨嘗試一下。

原文標題：谷歌又開源一項神器，用開源項目的人都需要

文章出處：【微信公眾號：人工智能與大數(shù)據(jù)技術】歡迎添加關注！文章轉(zhuǎn)載請注明出處。

責任編輯：haq