Google удваивает программы оценки безопасности ПО с открытым исходным кодом
Google удваивает программы оценки безопасности ПО с открытым исходным кодом. Фото: Pixabay
OpenSSF запустила проект Scorecards прошлой осенью, чтобы оценить и выявить слабые места в безопасности в проектах с открытым исходным кодом.
Из обращения членов группы безопасности открытого исходного кода Google:
«Сегодня, в сотрудничестве с сообществом Open Source Security Foundation, мы анонсируем Scorecards v2 . Мы добавили новые проверки безопасности, увеличили количество оцениваемых проектов и сделали эти данные легкодоступными для анализа»
По данным Google, на сегодняшний день в рамках проекта Scorecards были оценены критерии безопасности для более чем 50 тыс. проектов с открытым исходным кодом. Фактически, эти данные используются недавно анонсированным проектом Google Open Source Insights, а также представлены как часть проекта OpenSSF Security Metrics .
В связи с возросшей зависимостью от программного обеспечения с открытым исходным кодом проект Scorecards был концептуализирован, чтобы помочь уменьшить усилия, необходимые для поддержания очищенных цепочек поставок программного обеспечения.
С этой целью было добавлено несколько новых проверок после структуры « Знай, предотвращай, исправляй», предложенной Google ранее в этом году.
С помощью Scorecards v2 теперь можно проверять, требует ли проект обязательных проверок безопасности со стороны других разработчиков перед фиксацией кода. В новой версии инструмента также есть проверки, чтобы определить, использует ли проект инструменты Fuzzing и SAST как часть своей системы CI / CD, поскольку их можно использовать для обнаружения ошибок на ранних этапах жизненного цикла разработки.
При запуске новых функций Scorecard v2 разработчики Google отмечают, что проверка инструментов Token-Permissions теперь проверяет, что рабочие процессы GitHub следуют принципу наименьших прав, делая токены GitHub доступными только для чтения по умолчанию.
Согласно недавнему опросу , уязвимости в проектах с открытым исходным кодом представляют серьёзную угрозу безопасности для всех предприятий , а Scorecards v2 поможет выявить любые проблемы до того, как программное обеспечение станет зависимым.
Startpack подготовил список, в котором представлены инструменты для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.
Статьи по теме
Комментариев пока не было