Scorecards 是谷歌开发,由开源安全基金会 (OpenSSF) 开源的首批项目之一,其目标是为开源项目自动生成一个 "安全分数",以帮助用户确定用例的信任度、风险和安全态势。
Scorecards 定义了初始评估标准,它被用于以一种完全自动化的方式为开源项目生成一个评分卡。评分卡的每项检查都可以被控制是否启用,部分评估指标包括定义良好的安全策略、代码审查流程以及使用模糊测试和静态代码分析工具的持续测试覆盖率。每项安全检查都会返回一个布尔值以及信任度分数。随着 Scorecards 被广泛使用,谷歌会通过 OpenSSF 的社区贡献来改进这些指标。
Scorecards 是谷歌开发,由开源安全基金会 (OpenSSF) 开源的首批项目之一,其目标是为开源项目自动生成一个 "安全分数",以帮助用户确定用例的信任度、风险和安全态势。 Scorecards 定义了初始评估标准,它被用于以一种完全自动化的方式为开源项目生成一个评分卡。评分卡的每项检查都可以被控制是否启用,部分评估指标包括定义良好的安全策略、代码审查流程以及使用模糊测试和静态代码分析工具的持续测试覆盖率。每项安全检查都...
AI大模型不仅能够文生图、文生视频、人机对话等,还能够帮助开发人员写代码,但这又出现另一个问题,ChatGPT产生的代码也可能存在漏洞。 可以说,全球软件供应链安全正面临着更大的挑战,AI爆发、大量应用程序的出现以及企业内部应用AI等诸多新事物无不考验着软件开发者的抗风险能力。 JFrog公司研究团队在全球软件供应链发展报告中指出,AI大模型不仅是前端的内容生成,还包括模型、数据集、Python脚本等在容器环境里的运行,这...
Scorecards 是谷歌开发,由开源安全基金会 (OpenSSF) 开源的首批项目之一,其目标是为开源项目自动生成一个 "安全分数",以帮助用户确定用例的信任度、风险和安全态势。 Scorecards 2.0 正式发布,本次更新的内容包括: 识别风险:自去年秋天以来,Scorecards 的覆盖范围不断扩大;该项目增加了几个新的检查,遵循 Google 的「Know, Prevent, Fix」框架。 发现恶意贡献者:具有恶意意图或被盗帐户的贡献者可能会在代码中引入潜在...
2020 年,Linux 基金会宣布与多家硬件和软件厂商合作,共同成立了开源安全基金会(OpenSSF),旨在提升开源软件安全性。自成立以来,开源安全基金会(OpenSSF)社区也一直在致力于帮助开发人员使用和共享具有主动处理安全性的高质量软件。 目前,该基金会已经更新了其 2021 年 1 月工作进展,其中包括发布了工具和数据集的 CVE 基准;并建立了安全评分卡,可以自动生成“安全评分”等内容。 其工作组进度的最近更新具体如下: ...
开源软件的广泛应用催生了日渐增多的开源软件供应链攻击,与普通供应链攻击不同,开源软件拥有更长的“信任链”和更大的影响力,因此导致的结果之一就是破坏性更大。然而大部分开发者或组织在使用新的开源项目依赖时,没有评估过对生产环境安全性的影响,当然也可能是无法评估,因为没有任何能反映该项目安全性的数据和信息。 诸如谷歌这类大型公司会为此制定相关规范,他们要求工程师在引入新的开源依赖时必须遵循相应的系统规...
评论