《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業界動態 > Google發布開源安全計分卡工具:Scorecard v2

Google發布開源安全計分卡工具:Scorecard v2

2021-07-25
來源:安全牛

微信圖片_20210725202707.jpg

  Google日前發布了最新的開源安全工具Scorecard v2版,以實現讓開源安全檢查變得更容易。此版本包括了新的安全檢查、擴大被評分的項目數量等功能,這使得數據更易于被訪問和分析。

  對于開發人員而言,Scordcard有助于減少在維護項目供應鏈時不斷評估持續變化的數據包所需的工作量。用戶可以自動訪問風險以做出有關接受程序的明智決定,尋找替代解決方案或與維護人員合作進行改進。

  新功能如下:

  識別風險:自去年以來,記分卡的覆蓋范圍有所擴大。該項目在Google的Know、Prevent、Fix框架之后添加了幾項新檢查。

  發現惡意攻擊者:具有惡意意圖或被盜帳戶的攻擊者可能會在代碼中引入潛在的后門。代碼審查有助于減輕此類攻擊。使用新的分支保護檢查,開發人員可以在提交代碼之前驗證該項目是否強制執行其他開發人員的代碼審查。目前,由于GitHub API限制,此檢查只能由存儲庫管理員運行。對于第三方存儲庫,請改用信息較少的代碼審查檢查。

  易受攻擊的代碼:盡管開發人員和同行評審已經做了最大努力,惡意代碼仍然可以進入代碼庫且不被發現,這也是啟用持續模糊測試和靜態代碼測試在開發生命周期的早期捕獲錯誤的重要原因。啟用上述兩項測試后,就可以檢查攻擊者是否使用了模糊測試和SAST工具持續集成、部署了(CI/CD)管道。

  開發系統入侵:GitHub項目使用的常見CI/CD解決方案是GitHub Actions。這一方案的缺點在于GitHub Actions可能會處理不受信任的用戶輸入,即攻擊者可以制作惡意pull request請求以獲得對特權GitHub令牌的訪問權限,并借此將惡意代碼推送到存儲庫而無需審查。為了降低這種風險,記分卡的令牌權限預防檢查現在通過將GitHub令牌設置為默認只讀來驗證GitHub工作流程是否遵循最小權限原則。

  不良依賴:顯而易見,程序的安全性取決于其最弱的依賴項。但是了解依賴項的第一步就是聲明它們,并且讓用戶的依賴項也聲明它們。有了這些來源信息,用戶就可以評估并降低程序的風險。




電子技術圖片.png

本站內容除特別聲明的原創文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306118;郵箱:aet@chinaaet.com。
主站蜘蛛池模板: 日本花心黑人hd捆绑| 精品无码一区二区三区水蜜桃 | 性放荡日记高h| 亚洲国产成人久久综合区| 99精品国产成人一区二区| 日韩一级在线视频| 亚洲欧美精品中字久久99| wwwxx在线| 小仙女坐在胯下受辱h| 久久精品国产亚洲av麻豆色欲| 波多野结衣教师未删减版| 国产三级久久精品三级| tubesex69| 日本人在线看片| 免费无遮挡毛片| 香蕉97超级碰碰碰碰碰久| 尾野真知子日韩专区在线| 九一制片厂免费传媒果冻| 精品人妻久久久久久888| 国产又黄又硬又湿又黄的| 69堂在线观看| 女扒开尿口让男桶30分钟| 久久亚洲精品中文字幕| 欧美亚洲一区二区三区| 国产中的精品一区的| 福利视频导航网| 在线观看福利网站| 三个黑人上我一个经过| 日本视频在线免费| 亚洲中文精品久久久久久不卡| 狠狠色婷婷丁香六月| 卡1卡2卡3卡4卡5免费视频| 青青青青久久久久国产的 | 免费观看无遮挡www的小视频 | 成人免费在线观看网站| 久久国产色AV免费观看| 欧美一区二区三区久久久人妖| 亚洲欧美视频二区| 男女一边桶一边摸一边脱视频免费| 四虎影院黄色片| 青青青青久在线观看视频|