谷歌已经发布Scorecards v2,这是一个为开源项目进行 "风险评分 "的自动化安全工具,新的版本包括了新的安全检查、扩大被评分的项目数量等功能,这使得数据更易于被访问和分析。
谷歌的开源安全团队表示:"今天有这么多的软件依赖于开源项目,消费者需要一个简单的方法来判断他们的依赖关系是否安全。Scorecards可以减少维护项目供应链时,由于不断评估那些不断变化的软件包而产生的大量人工工作。"
Scorecards旨在自动分析开源项目的安全态势,以及使用安全健康指标来主动改善其他关键项目的安全态势。到目前为止,该工具已被扩大到评估超过50,000个开源项目的安全标准。
新增内容包括检查来自恶意攻击者的代码或可能在代码中引入潜在后门的受损账户,使用模糊处理(如OSS-Fuzz)和静态代码分析工具(如CodeQL),部署了(CI/CD)管道等。
该团队说:"依赖关系在有依赖关系的任何地方都是有用的:不仅仅是在编译期间,而且在Dockerfiles、CI/CD工作流程等方面。"Scorecards通过Frozen-Deps检查来实现。这种检查有助于缓解恶意依赖性攻击,如最近的CodeCov攻击。"
谷歌还指出,大量被分析的项目没有被持续模糊化,它们既没有定义报告漏洞的安全政策,也没有关注依赖关系,还强调了需要提高这些关键项目的安全性,并推动对广泛的安全风险的认识。