google为开源项目自动生成“安全分数”！

Posted 2021-04-30 架构师必备

Scorecards 是谷歌开发，由开源安全基金会 (OpenSSF) 开源的首批项目之一，其目标是为开源项目自动生成一个 "安全分数"，以帮助用户确定用例的信任度、风险和安全态势。

Scorecards 定义了初始评估标准，它被用于以一种完全自动化的方式为开源项目生成一个评分卡。评分卡的每项检查都可以被控制是否启用，部分评估指标包括定义良好的安全策略、代码审查流程以及使用模糊测试和静态代码分析工具的持续测试覆盖率。每项安全检查都会返回一个布尔值以及信任度分数。随着 Scorecards 被广泛使用，谷歌会通过 OpenSSF 的社区贡献来改进这些指标。