Google日前發(fā)布了最新的開源安全工具Scorecard v2版，以實現(xiàn)讓開源安全檢查變得更容易。此版本包括了新的安全檢查、擴大被評分的項目數(shù)量等功能，這使得數(shù)據(jù)更易于被訪問和分析。

　　對于開發(fā)人員而言，Scordcard有助于減少在維護項目供應鏈時不斷評估持續(xù)變化的數(shù)據(jù)包所需的工作量。用戶可以自動訪問風險以做出有關接受程序的明智決定，尋找替代解決方案或與維護人員合作進行改進。

　　新功能如下：

　　識別風險：自去年以來，記分卡的覆蓋范圍有所擴大。該項目在Google的Know、Prevent、Fix框架之后添加了幾項新檢查。

　　發(fā)現(xiàn)惡意攻擊者：具有惡意意圖或被盜帳戶的攻擊者可能會在代碼中引入潛在的后門。代碼審查有助于減輕此類攻擊。使用新的分支保護檢查，開發(fā)人員可以在提交代碼之前驗證該項目是否強制執(zhí)行其他開發(fā)人員的代碼審查。目前，由于GitHub API限制，此檢查只能由存儲庫管理員運行。對于第三方存儲庫，請改用信息較少的代碼審查檢查。

　　易受攻擊的代碼：盡管開發(fā)人員和同行評審已經(jīng)做了最大努力，惡意代碼仍然可以進入代碼庫且不被發(fā)現(xiàn)，這也是啟用持續(xù)模糊測試和靜態(tài)代碼測試在開發(fā)生命周期的早期捕獲錯誤的重要原因。啟用上述兩項測試后，就可以檢查攻擊者是否使用了模糊測試和SAST工具持續(xù)集成、部署了（CI/CD）管道。

　　開發(fā)系統(tǒng)入侵：GitHub項目使用的常見CI/CD解決方案是GitHub Actions。這一方案的缺點在于GitHub Actions可能會處理不受信任的用戶輸入，即攻擊者可以制作惡意pull request請求以獲得對特權GitHub令牌的訪問權限，并借此將惡意代碼推送到存儲庫而無需審查。為了降低這種風險，記分卡的令牌權限預防檢查現(xiàn)在通過將GitHub令牌設置為默認只讀來驗證GitHub工作流程是否遵循最小權限原則。

　　不良依賴：顯而易見，程序的安全性取決于其最弱的依賴項。但是了解依賴項的第一步就是聲明它們，并且讓用戶的依賴項也聲明它們。有了這些來源信息，用戶就可以評估并降低程序的風險。