Google發(fā)布面向開發(fā)者的安全工具AllStars

面對日益增多的針對開源軟件的攻擊，大公司正在介入，用免費的服務(wù)和工具幫助開發(fā)者提高網(wǎng)絡(luò)安全。Google為開發(fā)者發(fā)布了一個新的工具，該工具可以自動保護項目的過程，并驗證屬性，以確保項目的安全性沒有受到影響。這個新的安全工具被稱為AllStars，旨在運行測試以確定關(guān)鍵方面是否被改變。

Google AllStars工程負責(zé)人Jeff Mendoza表示，AllStars與另一個名為Scorecard的Google工具相結(jié)合，為項目維護者提供了保護。如果開發(fā)者愿意，他們可以使用Scorecard來評估他們的情況，然后用AllStars自動執(zhí)行適當(dāng)?shù)恼摺?/p>

根據(jù)18個不同的標(biāo)準(zhǔn)，Scorecard對項目進行評估，例如它們是否自動更新依賴關(guān)系，是否積極維護，以及是否采用自動漏洞發(fā)現(xiàn)方法來識別容易發(fā)現(xiàn)的缺陷。

根據(jù)OpenSSF的公告，Google在周一提供了這個工具，作為維護一個任何人都可以使用的AllStar實例的努力的一部分。該軟件跟蹤GitHub倉庫并檢查項目，以確保沒有不需要的改動。配置設(shè)置與項目的安全策略進行比較，如果不匹配，可以采取應(yīng)對措施。

Mendoza說："隨著開源的巨大普及，攻擊者將被破壞的開發(fā)中的項目視為滲透到封閉和開放系統(tǒng)的一種方式。由于很少有實時運行的開源安全系統(tǒng)，在攻擊面向供應(yīng)鏈方面的時候就會變得非常兇險：要么代碼庫容易被破壞，要么在代碼和項目會被建立并在其他系統(tǒng)上使用的地方注入一個破壞性因素。