Alat Kartu Skor Google Baru Memindai Perangkat Lunak Sumber Terbuka untuk Risiko Keamanan Lainnya More

  • Whatsapp
alat keamanan sumber terbuka kartu skor google

Google telah meluncurkan versi terbaru dari Scorecard, alat keamanan otomatisnya yang menghasilkan “skor risiko” untuk inisiatif sumber terbuka, dengan pemeriksaan dan kemampuan yang ditingkatkan untuk membuat data yang dihasilkan oleh utilitas dapat diakses untuk analisis.

“Dengan begitu banyak perangkat lunak saat ini yang mengandalkan proyek sumber terbuka, konsumen memerlukan cara mudah untuk menilai apakah ketergantungan mereka aman,” Tim Keamanan Sumber Terbuka Google berkata Kamis. “Scorecards membantu mengurangi kerja keras dan upaya manual yang diperlukan untuk terus mengevaluasi paket yang berubah saat mempertahankan rantai pasokan proyek.”

Bacaan Lainnya

Tim Stack Overflow

Kartu skor bertujuan untuk mengotomatiskan analisis postur keamanan proyek sumber terbuka serta menggunakan metrik kesehatan keamanan untuk secara proaktif meningkatkan postur keamanan proyek penting lainnya. Hingga saat ini, alat ini telah ditingkatkan untuk mengevaluasi kriteria keamanan untuk lebih dari 50.000 proyek sumber terbuka.

alat keamanan sumber terbuka kartu skor google

Beberapa tambahan baru termasuk pemeriksaan kontribusi dari penulis jahat atau akun yang disusupi yang dapat memasukkan potensi pintu belakang ke dalam kode, penggunaan fuzzing (misalnya, OSS-Fuzz), dan alat analisis kode statis (misalnya, CodeQL), tanda-tanda CI/CD kompromi, dan ketergantungan yang buruk.

“Menyematkan dependensi berguna di mana pun kita memiliki dependensi: tidak hanya selama kompilasi, tetapi juga di Dockerfiles, alur kerja CI/CD, dll,” kata tim. “Scorecards memeriksa anti-pola ini dengan Frozen-Deps memeriksa. Pemeriksaan ini berguna untuk mengurangi serangan ketergantungan berbahaya seperti serangan CodeCov baru-baru ini.”

Manajemen Kata Sandi Perusahaan

Google juga mencatat bahwa sejumlah besar proyek yang dianalisis tidak terus-menerus disamarkan, dan mereka juga tidak menentukan kebijakan keamanan untuk melaporkan kerentanan atau menyematkan dependensi, sementara juga menggarisbawahi perlunya meningkatkan keamanan proyek penting ini dan mendorong kesadaran akan risiko keamanan yang meluas.

Kartu Skor Google

Peluncuran Scorecard v2 dilakukan beberapa minggu setelah perusahaan mempratinjau kerangka kerja end-to-end yang disebut “Supply chain Levels for Software Artifacts” (atau SLSA) untuk memastikan integritas artefak perangkat lunak dan mencegah modifikasi yang tidak sah selama pengembangan dan penerapan pipa.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *