当开发人员或组织在其生产软件中引入新的开源依赖项时,很难简单地表明该包有多安全。一些组织(包括Google)在引入新的开放源码依赖项时,有工程师必须遵循的系统和流程,但这个过程可能是乏味的、手动的,而且容易出错。此外,这些项目和开发人员中的许多都受到资源的限制,并且安全性往往在任务列表中排在较低的优先级。这会导致关键项目不遵循良好的安全最佳实践,并容易受到攻击。正是这些问题促使我们致力于一个名为“记分卡”的新项目,该项目由开源安全基金会(OpenSSF)于上周宣布。
记分卡是自2020年8月OpenSSF成立以来首批在OpenSSF下发布的项目之一。记分卡项目的目标是为开源项目自动生成“安全分数”,以帮助用户决定其用例的信任、风险和安全状态。记分卡定义了一个初始评估标准,该标准将用于以完全自动化的方式为开放源码项目生成记分卡。每一张记分卡检查都是可操作的。使用的一些评估指标包括定义良好的安全策略、代码审查流程,以及使用模糊和静态代码分析工具的持续测试覆盖。返回布尔值以及每个安全检查的置信度分数。随着时间的推移,谷歌将通过OpenSSF的社区贡献来改进这些指标。
查看GitHub上的安全记分卡项目并提供反馈。这只是许多步骤中的第一步,我们期待着与社区一起继续改善开源安全。作者:Kim Lewandowski,Dan Lorenc和Abhishek Arya,谷歌安全团队