google系统架构解密(Google发布面向开发者的安全工具AllStars)

面对日益增多的针对开源软件的攻击,大公司正在介入,用免费的服务和工具帮助开发者提高网络安全。Google为开发者发布了一个新的工具,该工具可以自动保护项目的过程,并验证属性,以确保项目的安全性没有受到影响。这个新的安全工具被称为AllStars,旨在运行测试以确定关键方面是否被改变。

google系统架构解密(Google发布面向开发者的安全工具AllStars)(1)

Google AllStars工程负责人Jeff Mendoza表示,AllStars与另一个名为Scorecard的Google工具相结合,为项目维护者提供了保护。如果开发者愿意,他们可以使用Scorecard来评估他们的情况,然后用AllStars自动执行适当的政策。

根据18个不同的标准,Scorecard对项目进行评估,例如它们是否自动更新依赖关系,是否积极维护,以及是否采用自动漏洞发现方法来识别容易发现的缺陷。

google系统架构解密(Google发布面向开发者的安全工具AllStars)(2)

根据OpenSSF的公告,Google在周一提供了这个工具,作为维护一个任何人都可以使用的AllStar实例的努力的一部分。该软件跟踪GitHub仓库并检查项目,以确保没有不需要的改动。配置设置与项目的安全策略进行比较,如果不匹配,可以采取应对措施。

Mendoza说:"随着开源的巨大普及,攻击者将被破坏的开发中的项目视为渗透到封闭和开放系统的一种方式。由于很少有实时运行的开源安全系统,在攻击面向供应链方面的时候就会变得非常凶险:要么代码库容易被破坏,要么在代码和项目会被建立并在其他系统上使用的地方注入一个破坏性因素。

了解更多:

https://openssf.org/blog/2021/08/11/introducing-the-allstar-github-app/

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页