如今,安全漏洞越来越多地困扰着大型开源项目。根据RiskSense的统计数据,2019年开源软件漏洞的数量比2018年增加了一倍多。考虑到近91%的商业应用程序包含过时或过时的开源组件,安全漏洞的影响是深远的。作为开源软件社区的一份子,谷歌深知软件供应链攻击对开源项目造成的威胁越来越大,而Allstar是其提高安全性的最新工具。Allstar是一个应用程序,可以自动执行并持续为GitHub项目实施安全最佳实践。新应用程序的工作原理是让GitHub存储库中的项目所有者能够检查是否符合安全策略,设置所需的强制措施,然后在项目存储库中的设置或文件发生变化时保留这些操作。Allstar是Scorecards的配套产品,Scorecards是另一种同样由Google维护的开源工具,可自动评估任何GitHub存储库及其依赖项的风险。记分卡检查启发式方法,例如项目是否使用分叉保护、对发布工件进行加密签名或需要代码审查,并为每个类别生成后评估分数,帮助用户了解可能需要改进的地方。Allstar可以在此基础上接管,为项目维护者提供更简单的方法来自动化某些安全检查。因此,如果任何存储库未通过安全检查,Allstar将自动介入并进行它认为必要的修复以解决问题。通过这个程序,开发人员可以摆脱日常重复的检查和维修工作。Allstar初始安全策略审查/执行包括:分支保护(针对未经批准的拉取请求、强制推送等);存在一个SECURITY.md文件,其中包含用于负责任的漏洞披露的定义策略;外部合作者执行特定要求(例如,具有存储库管理员权限的用户必须是组织的成员);如果在存储库中发现二进制工件,则检测并发出警报;目前Allstar可以执行的安全策略检查数量有限,谷歌计划在未来几个月逐步推出更多策略——包括冻结依赖项和自动更新依赖项。谷歌高级项目经理MikeMaraya表示:“简而言之,记分卡帮助开发人员衡量项目当前的安全状态和他们想要实现的最终目标,而Allstar帮助你实现目标。Allstar仍处于早期阶段的发展,所以我们欢迎大家积极使用它并在社区中提供反馈。”感兴趣的开发者可以访问Allstar的GitHub页面了解更多详情本文转自OSCHINA本文标题:谷歌开源Allstar,持续为GitHub项目实施最佳安全实践本文地址:https://www.oschina.net/news/155179/google-open-source-allstar
