开源软件的广泛应用催生了日渐增多的开源软件供应链攻击,与普通供应链攻击不同,开源软件拥有更长的“信任链”和更大的影响力,因此导致的结果之一就是破坏性更大。然而大部分开发者或组织在使用新的开源项目依赖时,没有评估过对生产环境安全性的影响,当然也可能是无法评估,因为没有任何能反映该项目安全性的数据和信息。
诸如谷歌这类大型公司会为此制定相关规范,他们要求工程师在引入新的开源依赖时必须遵循相应的系统规定和流程,但这一过程往往会很繁琐、需要手动操作且容易导致出错。即便已制定规范,但要真正执行也是一个问题,原因是许多项目和开发者受到资源限制,安全相关的工作在任务列表中往往处于最低优先级,因此导致关键项目无法遵循良好的最佳安全实践,从而容易遭受攻击。
受此类问题困扰的谷歌开发了名为“Scorecards”的新项目,并在上周由开源安全基金会 (OpenSSF) 宣布开源。
开源安全基金会由 Linux 基金会与多家硬件和软件厂商合作创立,谷歌是其中一名创始董事会成员。
Scorecards 也是 OpenSSF 自2020年8月成立以来发布的首批项目之一,其目标是为开源项目自动生成一个 "安全分数",以帮助用户确定用例的信任度、风险和安全态势。
Scorecards 定义了初始评估标准,它被用于以一种完全自动化的方式为开源项目生成一个评分卡。评分卡的每项检查都可以被控制是否启用,部分评估指标包括定义良好的安全策略、代码审查流程以及使用模糊测试和静态代码分析工具的持续测试覆盖率。每项安全检查都会返回一个布尔值以及信任度分数。随着 Scorecards 被广泛使用,谷歌会通过 OpenSSF 的社区贡献来改进这些指标。
查看文档了解更多关于检查项的详细信息。
本文地址:https://www.oschina.net/news/120210/android-encryption-certs
