谷歌又开源一项神器，用开源项目的人都需要

Posted 2021-04-30 开源最前线

开源最前线（ID：OpenSourceTop） 猿妹整编

综合自：https://github.com/sogou/srpc、https://github.com/sogou/workflow

当开发人员或组织将新的开源依赖项引入其生产软件时，你很难知道这个软件包的安全性有多高。

某些企业/组织拥有合适的系统和流程，开发者们在引入新的开源代码依赖项时必须严格遵守这些流程规范，但是该流程可能很繁琐，手动还容易出错，此外，这些项目和开发人员中的许多人都受到资源的限制，对安全性的重视度不够，这将直接导致项目没法遵循良好的安全实践，从而容易遭受攻击。

为了解决以上问题，谷歌开发了名为“Scorecards”的新项目，并在上周由开源安全基金会 (OpenSSF) 宣布开源。

自2020年8月成立以来，Scorecards是OpenSSF下发布的首批项目之一。Scorecards旨在为开源项目自动生成“安全评分”，从而帮助用户评估该项目的可信度、风险系数和安全系数等。Scorecards定义了初始评估标准，该标准将以完全自动化的方式为开源项目打分。Scorecards使用的评估指标包括定义明确的安全策略，每个安全检查返回一个布尔值以及信任度分数。以后，谷歌将通过OpenSSF的社区贡献来改进这些指标。

Scorecards详细的检查标准如下所示：

运行Scorecards，你只需要一个参数，那就是仓库名称：

$ go build
$ ./scorecard --repo=github.com/kubernetes/kubernetes
Starting [Active]
Starting [CI-Tests]
Starting [CII-Best-Practices]
Starting [Code-Review]
Starting [Contributors]
Starting [Frozen-Deps]
Starting [Fuzzing]
Starting [Pull-Requests]
Starting [SAST]
Starting [Security-Policy]
Starting [Signed-Releases]
Starting [Signed-Tags]
Finished [Fuzzing]
Finished [CII-Best-Practices]
Finished [Frozen-Deps]
Finished [Security-Policy]
Finished [Contributors]
Finished [Signed-Releases]
Finished [Signed-Tags]
Finished [CI-Tests]
Finished [SAST]
Finished [Code-Review]
Finished [Pull-Requests]
Finished [Active]

RESULTS
-------
Active: Pass 10
CI-Tests: Pass 10
CII-Best-Practices: Pass 10
Code-Review: Pass 10
Contributors: Pass 10
Frozen-Deps: Pass 10
Fuzzing: Pass 10
Pull-Requests: Pass 10
SAST: Fail 0
Security-Policy: Pass 10
Signed-Releases: Fail 10
Signed-Tags: Fail 5

建议使用OAuth授权避免速率限制，你可以按照说明创建一个，将访问指令设置为环境变量：

export GITHUB_AUTH_TOKEN=<your access token>

如果你也对Scorecard感兴趣，不妨尝试一下，最后附上Github地址：https://github.com/ossf/scorecard

---

●输入m获取到文章目录