软件供应链攻击正变得越来越普遍,攻击者正在瞄准供应链早期环节的依赖项漏洞,以扩大其攻击的影响。依赖项安全正受到高度关注。随时了解您所依赖的软件项目非常重要。但是,当您是一名软件开发人员时,您可能正在使用来自许多不同来源的大量代码。尝试跟上您自己项目中包含的所有代码,这前景令人望而生畏。 这就是 OpenSSF Scorecard 的用武之地。
OpenSSF 的 Scorecard 项目是一个自动化工具,用于评估软件项目的安全实践和风险。根据 Sonatype 最近发布的一份报告,Scorecard 评分是衡量项目是否存在已知漏洞的最佳指标之一。 采用 Scorecard 是了解您使用的软件的可靠性并提高软件供应链安全性的绝佳第一步。
Scorecard 是一组基准,可让您根据最佳安全实践快速评估与代码项目相关的风险。 聚合的项目评分范围为 0 到 10,指示项目对安全的重视程度。 这对于识别供应链中的脆弱点至关重要。 不符合您内部安全标准的依赖项可能是您软件中最薄弱的环节。
检查 19 个不同的 Scorecard 指标中每个指标的单独评分,可以告诉您项目维护者是否遵循对您最重要的实践。 项目是否要求贡献者在进行更改时进行代码审查? 分支是否受到保护,以防止未经授权的删除或更改? 依赖项是否已固定,以便在未经审查的情况下无法推送受损的版本更新? Scorecard 在各个最佳实践评分方面的粒度类似于一篇好的餐厅评论,它可以回答“我想在这里吃饭吗?”这个问题。 此外,Scorecard 还为项目维护者提供了一个可操作的步骤清单,以提高安全性。
开源洞察
您可以使用 Scorecard 来评估别人的软件,也可以使用它来改进自己的软件。
要快速查看项目的评分,您可以访问开源洞察。 该网站使用 Scorecard 数据来报告依赖项的健康状况。 对于开源洞察未涵盖的任何内容,您可以使用 Scorecard 命令行实用程序扫描 GitHub 上的任何项目,或者您可以在本地运行 Scorecard
$ scorecard --local . --show-details --format json | jq .您可以在您的 Git 服务器或本地开发机器上运行 Scorecard,并触发它以 Git hook 运行。
GitHub Action
如果您的代码在 GitHub 上,您可以将 GitHub Scorecard Action 添加到您的存储库。 GitHub Action 在任何存储库更改后运行 Scorecard 扫描,因此如果 PR 导致您的项目安全性倒退,您会立即收到反馈。 结果提供修复提示和严重程度指示,使您能够提高评分并保护您的项目。
(Naveen Srinivasan,CC BY-SA 4.0)
Scorecard API
Scorecard API 是一个强大的工具,可让您快速轻松地评估大量开源项目的严谨性。 使用此 API,您可以检查每周扫描的超过 125 万个 GitHub 存储库的评分。 该 API 提供了关于每个项目的安全实践的大量信息,使您能够快速识别漏洞并采取行动来保护您的软件供应链。 此数据还可用于自动化软件评估过程,从而轻松确保您的软件始终安全且为最新版本。 无论您是项目所有者还是开源软件的消费者,Scorecard API 都是确保代码安全性和可靠性的重要工具。
当您在提高评分方面取得进展时,不要忘记添加一个徽章来展示您的辛勤工作。
目前,OpenSSF Scorecard 正在被广泛采用,作为其开发人员之一,我对未来感到兴奋。 如果您尝试使用它,请随时通过存储库的联系部分与我们联系并分享您的反馈。
加入 Scorecard 人群
Scorecard 人群正在增长,许多用户已经从该工具中受益。 根据云原生计算基金会 CTO Chris Aniszczyk 的说法,“CNCF 在其各种项目中使用 Scorecard 来改进云原生生态系统中的安全实践。”
OpenSSF Scorecard 是一种自动化且实用的工具,使您能够评估开源软件的安全性,并采取措施来提高软件供应链的安全性。 它是确保您使用的软件安全可靠的重要工具。
评论已关闭。