谷歌又开源一项神器：Scorecards

当开发人员或组织将新的开源依赖项引入其生产软件时，你很难知道这个软件包的安全性有多高。   某些企业/组织拥有合适的系统和流程，开发者们在引入新的开源代码依赖项时必须严格遵守这些流程规范，但是该流程可能很繁琐，手动还容易出错，此外，这些项目和开发人员中的许多人都受到资源的限制，对安全性的重视度不够，这将直接导致项目没法遵循良好的安全实践，从而容易遭受攻击。

为了解决以上问题，谷歌开发了名为“Scorecards”的新项目，并在上周由开源安全基金会 (OpenSSF) 宣布开源。   自2020年8月成立以来，Scorecards是OpenSSF下发布的首批项目之一。Scorecards旨在为开源项目自动生成“安全评分”，从而帮助用户评估该项目的可信度、风险系数和安全系数等。Scorecards定义了初始评估标准，该标准将以完全自动化的方式为开源项目打分。Scorecards使用的评估指标包括定义明确的安全策略，每个安全检查返回一个布尔值以及信任度分数。以后，谷歌将通过OpenSSF的社区贡献来改进这些指标。   Scorecards详细的检查标准如下所示：

运行Scorecards，你只需要一个参数，那就是仓库名称：

$ go build $ ./scorecard --repo=github.com/kubernetes/kubernetes Starting [Active] Starting [CI-Tests] Starting [CII-Best-Practices] Starting [Code-Review] Starting [Contributors] Starting [Frozen-Deps] Starting [Fuzzing] Starting [Pull-Requests] Starting [SAST] Starting [Security-Policy] Starting [Signed-Releases] Starting [Signed-Tags] Finished [Fuzzing] Finished [CII-Best-Practices] Finished [Frozen-Deps] Finished [Security-Policy] Finished [Contributors] Finished [Signed-Releases] Finished [Signed-Tags] Finished [CI-Tests] Finished [SAST] Finished [Code-Review] Finished [Pull-Requests] Finished [Active] RESULTS ------- Active: Pass 10 CI-Tests: Pass 10 CII-Best-Practices: Pass 10 Code-Review: Pass 10 Contributors: Pass 10 Frozen-Deps: Pass 10 Fuzzing: Pass 10 Pull-Requests: Pass 10 SAST: Fail 0 Security-Policy: Pass 10 Signed-Releases: Fail 10 Signed-Tags: Fail 5

建议使用OAuth授权避免速率限制，你可以按照说明创建一个，将访问指令设置为环境变量：

export GITHUB_AUTH_TOKEN=

如果你也对Scorecard感兴趣，不妨尝试一下。

原文标题：谷歌又开源一项神器，用开源项目的人都需要

文章出处：【微信公众号：人工智能与大数据技术】欢迎添加关注！文章转载请注明出处。

责任编辑：haq