谷歌又开源一项神器：Scorecards

当开发人员或组织将新的开源依赖项引入其生产软件时，你很难知道这个软件包的安全性有多高。 某些企业/组织拥有合适的系统和流程，开发者们在引入新的开源代码依赖项时必须严格遵守这些流程规范，但是该流程可能很繁琐，手动还容易出错，此外，这些项目和开发人员中的许多人都受到资源的限制，对安全性的重视度不够，这将直接导致项目没法遵循良好的安全实践，从而容易遭受攻击。

为了解决以上问题，谷歌开发了名为“Scorecards”的新项目，并在上周由开源安全基金会 (OpenSSF) 宣布开源。 自2020年8月成立以来，Scorecards是OpenSSF下发布的首批项目之一。Scorecards旨在为开源项目自动生成“安全评分”，从而帮助用户评估该项目的可信度、风险系数和安全系数等。Scorecards定义了初始评估标准，该标准将以完全自动化的方式为开源项目打分。Scorecards使用的评估指标包括定义明确的安全策略，每个安全检查返回一个布尔值以及信任度分数。以后，谷歌将通过OpenSSF的社区贡献来改进这些指标。 Scorecards详细的检查标准如下所示：

运行Scorecards，你只需要一个参数，那就是仓库名称：

$gobuild $./scorecard--repo=github.com/kubernetes/kubernetes Starting[Active] Starting[CI-Tests] Starting[CII-Best-Practices] Starting[Code-Review] Starting[Contributors] Starting[Frozen-Deps] Starting[Fuzzing] Starting[Pull-Requests] Starting[SAST] Starting[Security-Policy] Starting[Signed-Releases] Starting[Signed-Tags] Finished[Fuzzing] Finished[CII-Best-Practices] Finished[Frozen-Deps] Finished[Security-Policy] Finished[Contributors] Finished[Signed-Releases] Finished[Signed-Tags] Finished[CI-Tests] Finished[SAST] Finished[Code-Review] Finished[Pull-Requests] Finished[Active] RESULTS ------- Active:Pass10 CI-Tests:Pass10 CII-Best-Practices:Pass10 Code-Review:Pass10 Contributors:Pass10 Frozen-Deps:Pass10 Fuzzing:Pass10 Pull-Requests:Pass10 SAST:Fail0 Security-Policy:Pass10 Signed-Releases:Fail10 Signed-Tags:Fail5

建议使用OAuth授权避免速率限制，你可以按照说明创建一个，将访问指令设置为环境变量：

exportGITHUB_AUTH_TOKEN=

如果你也对Scorecard感兴趣，不妨尝试一下。

原文标题：谷歌又开源一项神器，用开源项目的人都需要

文章出处：【微信公众号：人工智能与大数据技术】欢迎添加关注！文章转载请注明出处。

责任编辑：haq