Google выпустила новое приложение для безопасности проектов GitHub

Google выпустила новое приложение для безопасности проектов GitHub. Фото: Pixabay

Как член сообщества программного обеспечения с открытым исходным кодом (OSS), поисковый гигант хорошо осведомлён о растущей угрозе, которую представляют атаки цепочки поставок программного обеспечения на проекты с открытым исходным кодом. Приложение Allstar является новой попыткой улучшить их безопасность.

С помощью Allstar владельцы проектов GitHub могут проверять соблюдение политики безопасности, устанавливать желаемые принудительные действия и постоянно применять эти меры при срабатывании настройки или изменении файла в организации или репозитории проекта в соответствии с новым сообщением в блоге OpenSFF.

Используя новое приложение GitHub, сообщество с открытым исходным кодом может упреждающе снизить риск безопасности, пишет издание TechRadar.

Allstar является дополнением к Google и автоматизированному инструменту Scorecards OpenSFF, который оценивает риски для репозитория и зависимых от него проектов.

В то время как системы показателей безопасности проверяют ряд важных эвристик, чтобы получить оценку, помогающую пользователям понять конкретные области, которые необходимо улучшить, чтобы усилить безопасность своих проектов, Allstar позволяет разработчикам выбрать автоматическое выполнение определённых проверок. Однако, если репозиторий не проходит активную проверку, Allstar вмешивается, чтобы внести необходимые изменения для устранения проблемы.

Сам Allstar работает, непрерывно проверяя ожидаемые состояния GitHub API и содержимое файлов репозитория, такие как параметры репозитория, параметры веток и параметры рабочего процесса, на соответствие определённым политикам безопасности и применяя принудительные действия (проблемы с регистрацией, изменение параметров), когда ожидаемые состояния не соответствуют политикам.

Хотя OpenSFF запускает собственный экземпляр Allstar, который может установить и использовать, владельцы проектов GitHub также могут создавать и запускать свои собственные экземпляры в целях безопасности или настройки.

Startpack подготовил раздел, в котором представлены инструменты для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме

• Хакеры маскируются под службы доставки в WhatsApp.
• Microsoft предупреждает пользователей Office 365 о новой фишинговой кампании.
• В Discord снова обнаружены вредоносные программы.