乐趣区

关于开源:OpenSSF的开源软件风险评估工具Scorecards

对于 IT 从业者来说,Marc Andreessen 十年前提出“软件吞噬世界”的观点早已耳熟能详。无论是私人生活还是公共畛域,软件为古代社会的方方面面提供能源,对古代经济和国家平安至关重要。

开源曾经吞噬软件世界也是近几年十分风行的观点。Linux 基金会曾预测自在开源软件(FOSS)占古代软件的 70%~90%。不仅仅是古代软件由大量的开源组件形成,而且 IT 行业的从业人员也更违心与给开源社区做奉献的供应商单干。

因为开源软件灵便、低成本、通过社区我的项目推动翻新的个性,它们被宽泛应用,而因为多人合作参加从而我的项目能够取得更好的安全性,对于大型开源我的项目而言更是如此。尽管如此,开源软件也有其本身的问题,包含受影响代码的常见破绽和裸露(CVE)。

CVE 是 MITRE 的一个我的项目,致力于“辨认、定义和分类公开披露的网络安全破绽”。然而,CNCF 在其软件供应链最佳实际白皮书中指出,CVE 是“预先指标”,即它们所列举的破绽都曾经被公开披露。它们也只是与软件相干的危险的一种类型。

出于这一起因,组织应该应用其余办法来评估他们所应用的开源我的项目的平安状态。最驰名的我的项目之一是开源平安基金会(OpenSSF)的 Scorecards 我的项目。

我的项目地址:https://github.com/ossf/score…

什么是 OpenSSF Scorecards?

Scorecards 旨在为开源我的项目主动生成平安指数来帮忙我的项目的使用者和组织做出危险知情的决策。企业正在大量应用开源依赖项,但确定这些依赖项危险仍是一项手动工作。Scorecards 我的项目旨在采纳主动启发式(automated heuristics)和安全检查来减轻负担,最终在 0 到 10 的评分表上生成平安指数。它在评估开源软件我的项目的平安问题时,与平安领导者提倡的最佳实际(如签名或 SAST)保持一致。

OpenSSF Scorecards 对危险重大水平采纳分层计分

Scorecards 能够基于间接依赖项扫描 100 万个最要害的开源我的项目 ,并定期将后果公布到公共数据集上。除了利用公开的数据集外,企业还能够应用 GitHub Action 对本人的 GitHub 我的项目运行 Scorecards,当 Repo 有变动时,GitHub Action 就会运行,并向这些我的项目的维护者提供告警。

Scorecards 我的项目应用【要害】【高】【中】【低】的评分标准,这也是大多数平安从业者所相熟的规范。它还应用一个规范的查看列表,针对你的指标我的项目进行查看,无论是公开的我的项目还是原生应用的公有我的项目。

你还能够深刻理解其中一些查看,包含根底的平安实际,如应用分支爱护、加密签名公布以及存在未修复的破绽。Scorecards 我的项目采纳 OSV 破绽数据库(osv.dev)来检测未修复破绽的存在。这是一个为开源我的项目设计的分布式破绽数据库,它采纳 OpenSSF OSV 格局。OSV 的外围是聚合应用 OSV 模式的其余破绽数据库,如 GitHub Security Advisories 和寰球平安数据库等。OSC 还反对 API 和命令行界面(CLI)工具,用于扫描 CycloneDX 或 SPDX 格局的 SBOMs。

Scorecards 我的项目有双周会和 Slack channel。它由来自谷歌、Datto 和思科等公司的工程师主导,自成立以来曾经有近 3000 颗 star,还有用户将其增加至收藏夹。随着企业持续推动其开源软件采纳治理实际的成熟,该我的项目将不可避免地越来越受到青眼。

企业如何应用 OpenSSF Scorecards?

以后,企业对开源软件的治理和风险管理能力仍处于初级阶段。而近年来频发的软件供应链攻打事件将是一个微小的推动力,促成企业增强软件供应链的平安实际。目前咱们有 OpenSSF 平安动员打算、SLSA、《平安软件开发框架》(SSDF)以及其余最佳实际指南。所有这些都波及到企业对开源软件应用的治理,并确保这种应用与企业对危险的容忍度统一。

只管听起来很简略,但要在整个弱小的开源我的项目和组件的生态中做到这一点是非常具备挑战性的。OpenSSF 的 Scorecards 我的项目提供了一种自动化的形式来取得对超过 100 万个 OSS 我的项目的平安和危险洞察力,并将该我的项目间接用于他们本人的软件和外部的我的项目。

企业能够通过 CLI 对不属于他们的我的项目应用 Scorecards,也能够对 npm、Pypi 或 RubyGems 等我的项目应用软件包管理器。Scorecards 也能够作为 Docker 容器应用。

企业和集体开发者都能够参加该我的项目,包含提交需要查看,以便进行评分评估。组织也能够自定义应用 Scorecards,比方只运行特定的查看,或者与同行业的特定平安要求保持一致。

退出移动版