Вышло обновление Scorecards 2 — инструмента для аудита безопасности приложений open source

 

Разработчики представили вторую версию проекта Scorecards — автоматизированного инструмента безопасности, который выдает «оценку риска» для проектов с открытым исходным кодом. В нём добавлены новые методики проверки безопасности, расширен список проектов, а данные стали легко доступны для анализа.

Как отмечается, новая версия позволит сократить затраты и время на тестирование open source проектов, что позволит быстро оценить их безопасность, а также безопасность зависимостей. К примеру, проверка Branch-Protection позволяет убедиться, что проект требует обязательной проверки кода другим разработчиком перед выходом в релиз. В настоящее время эту проверку может выполнить только администратор репозитория из-за ограничений API GitHub. Для сторонних репозиториев можно использовать менее информативный Code-Review.

nordicapis.com

nordicapis.com

Также добавлена проверка, которая позволяет отслеживать потенциально уязвимый код в системе контроля версий. Помимо этого, новая система проверяет зависимости тех или иных пакетов, чтобы гарантировать безопасность. Для этого используются хtши, поскольку при изменениях в зависимостях, меняются и значения хэшей. В целом, Scorecards версии 2 поддерживает анализ более чем 50 тысяч проектов с открытым исходным кодом, что позволяет оценивать их по разным критериям.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER. | Можете написать лучше? Мы всегда рады новым авторам.

Источник:

Постоянный URL: https://servernews.ru/1043436

Комментарии

Система Orphus