Security Scorecard for Open Source Projects

Open Source Security Foundation выпустила инструмент под названием Security Scorecard. Основная цель инструмента - автоматизировать анализ и процесс принятия решений об использовании open-source проектов на GitHub. Запускается инструмент довольно просто:
./scorecard --repo=github.com/kubernetes/kubernetes

После этого Scorecard выполняет набор проверок, например:

- Есть ли в проекте политика безопасности?
- Использует ли проект статические анализаторы кода (например, CodeQL)?
- Использует ли проект OSS-Fuzz?
- Был ли новый релиз и коммит за последние 90 дней?
- Подписываются ли релизы?
- Являются ли контрибьютеры членами разных организаций?
- и другие проверки.

Каждая проверка оценивается по 10-бальной шкале уверенности. 0 - невозможно получить сигнал, 10 - инструмент уверен в результате.

#dev

Security Wine (бывший - DevSecOps Wine)

Security Scorecard for Open Source Projects

Open Source Security Foundation выпустила инструмент под названием Security Scorecard. Основная цель инструмента - автоматизировать анализ и процесс принятия решений об использовании open-source проектов на GitHub. Запускается инструмент довольно просто:
./scorecard --repo=github.com/kubernetes/kubernetes

После этого Scorecard выполняет набор проверок, например:

- Есть ли в проекте политика безопасности?
- Использует ли проект статические анализаторы кода (например, CodeQL)?
- Использует ли проект OSS-Fuzz?
- Был ли новый релиз и коммит за последние 90 дней?
- Подписываются ли релизы?
- Являются ли контрибьютеры членами разных организаций?
- и другие проверки.

Каждая проверка оценивается по 10-бальной шкале уверенности. 0 - невозможно получить сигнал, 10 - инструмент уверен в результате.

#dev

hottg.com/sec_devops/364

3.0K viewsDenis Yakimov, Nov 13, 2020 at 06:38