Google日前發(fā)布了最新的開源安全工具Scorecard v2版，以實現(xiàn)讓開源安全檢查變得更容易,。此版本包括了新的安全檢查,、擴大被評分的項目數(shù)量等功能，這使得數(shù)據(jù)更易于被訪問和分析,。

　　對于開發(fā)人員而言,，Scordcard有助于減少在維護項目供應鏈時不斷評估持續(xù)變化的數(shù)據(jù)包所需的工作量。用戶可以自動訪問風險以做出有關接受程序的明智決定，尋找替代解決方案或與維護人員合作進行改進,。

　　新功能如下：

　　識別風險：自去年以來,，記分卡的覆蓋范圍有所擴大。該項目在Google的Know,、Prevent,、Fix框架之后添加了幾項新檢查。

　　發(fā)現(xiàn)惡意攻擊者：具有惡意意圖或被盜帳戶的攻擊者可能會在代碼中引入潛在的后門,。代碼審查有助于減輕此類攻擊,。使用新的分支保護檢查，開發(fā)人員可以在提交代碼之前驗證該項目是否強制執(zhí)行其他開發(fā)人員的代碼審查,。目前,，由于GitHub API限制，此檢查只能由存儲庫管理員運行,。對于第三方存儲庫,，請改用信息較少的代碼審查檢查。

　　易受攻擊的代碼：盡管開發(fā)人員和同行評審已經(jīng)做了最大努力,，惡意代碼仍然可以進入代碼庫且不被發(fā)現(xiàn),，這也是啟用持續(xù)模糊測試和靜態(tài)代碼測試在開發(fā)生命周期的早期捕獲錯誤的重要原因。啟用上述兩項測試后,，就可以檢查攻擊者是否使用了模糊測試和SAST工具持續(xù)集成,、部署了（CI/CD）管道。

　　開發(fā)系統(tǒng)入侵：GitHub項目使用的常見CI/CD解決方案是GitHub Actions,。這一方案的缺點在于GitHub Actions可能會處理不受信任的用戶輸入,，即攻擊者可以制作惡意pull request請求以獲得對特權GitHub令牌的訪問權限，并借此將惡意代碼推送到存儲庫而無需審查,。為了降低這種風險,，記分卡的令牌權限預防檢查現(xiàn)在通過將GitHub令牌設置為默認只讀來驗證GitHub工作流程是否遵循最小權限原則,。

　　不良依賴：顯而易見,，程序的安全性取決于其最弱的依賴項。但是了解依賴項的第一步就是聲明它們,，并且讓用戶的依賴項也聲明它們,。有了這些來源信息，用戶就可以評估并降低程序的風險,。