Google випустив безкоштовний інструмент Scorecards для перевірки відкритого ПЗ на вразливості та застарілий код
Google випустила безкоштовний інструмент Scorecards для перевірки програмного забезпечення з відкритим кодом на наявність вразливостей і застарілого коду
Google випустила безкоштовний інструмент Scorecards для перевірки програмного забезпечення з відкритим кодом на наявність вразливостей і застарілого коду. Системи показників переглядають код на основі систем показників бібліотеки OpenSSF і видають "оцінку ризику" для програм з відкритим кодом.
Лише деякі організації включають системи для перевірки відкритого коду на наявність проблем з безпекою, але навіть при наявності достатніх ресурсів це стає виснажливим і схильним до помилок процесом. Проект Scorecards v2, який включає нові перевірки безпеки та простіший доступ до даних для аналізу, повинен покращити перевірку безпеки. Для розробників така система неоціненна: вони зможуть автоматично оцінювати ризики, щоб приймати зважені рішення про включення коду, пошуку альтернативних рішень або внесення поліпшень.
Нова версія Scorecards додає кілька нових перевірок і ідентифікацію шкідливих учасників, які можуть ввести потенційні лазівки в код. За допомогою нової перевірки захисту філій розробники можуть перевірити, чи проект був перевірений іншим розробником, перш ніж він буде включений до бібліотеки коду. Поки що цю перевірку може виконати лише адміністратор репозиторію через обмеження GitHub API .
Але навіть якщо розробники і партнери доклали максимум зусиль для організації безпечного простору, поганий код може потрапити в базу даних і залишитися непоміченим. Google відзначає необхідність постійного нечіткого і статичного тестування коду, щоб допомогти виявити помилки на початку життєвого циклу розробки. Проект Scorecards перевіряє, чи використовувалися інструменти fuzzing і SAST, коли код був включений в бібліотеку. Система показників також перевіряє, що робочі процеси GitHub відповідають принципу найменших привілеїв, завдяки чому токени GitHub за замовчуванням читаються лише для читання. Це заважає зловмиснику отримати доступ до токена привілеїв GitHub, а разом з ним і можливість відправляти шкідливий код в репозиторій без перевірки.
