開源軟件的廣泛應用催生了日漸增多的開源軟件供應鏈攻擊,與普通供應鏈攻擊不同,開源軟件擁有更長的“信任鏈”和更大的影響力,因此導致的結果之一就是破壞性更大。然而大部分開發者或組織在使用新的開源項目依賴時,沒有評估過對生產環境安全性的影響,當然也可能是無法評估,因為沒有任何能反映該項目安全性的數據和信息。
諸如谷歌這類大型公司會為此制定相關規范,他們要求工程師在引入新的開源依賴時必須遵循相應的系統規定和流程,但這一過程往往會很繁瑣、需要手動操作且容易導致出錯。即便已制定規范,但要真正執行也是一個問題,原因是許多項目和開發者受到資源限制,安全相關的工作在任務列表中往往處于最低優先級,因此導致關鍵項目無法遵循良好的最佳安全實踐,從而容易遭受攻擊。
受此類問題困擾的谷歌開發了名為“Scorecards”的新項目,并在上周由開源安全基金會 (OpenSSF) 宣布開源。
開源安全基金會由 Linux 基金會與多家硬件和軟件廠商合作創立,谷歌是其中一名創始董事會成員。
Scorecards 也是 OpenSSF 自2020年8月成立以來發布的首批項目之一,其目標是為開源項目自動生成一個 "安全分數",以幫助用戶確定用例的信任度、風險和安全態勢。
Scorecards 定義了初始評估標準,它被用于以一種完全自動化的方式為開源項目生成一個評分卡。評分卡的每項檢查都可以被控制是否啟用,部分評估指標包括定義良好的安全策略、代碼審查流程以及使用模糊測試和靜態代碼分析工具的持續測試覆蓋率。每項安全檢查都會返回一個布爾值以及信任度分數。隨著 Scorecards 被廣泛使用,谷歌會通過 OpenSSF 的社區貢獻來改進這些指標。
查看文檔了解更多關于檢查項的詳細信息。
本文地址:https://www.oschina.net/news/120210/android-encryption-certs
