開源軟件的廣泛應(yīng)用催生了日漸增多的開源軟件供應(yīng)鏈攻擊，與普通供應(yīng)鏈攻擊不同，開源軟件擁有更長(zhǎng)的“信任鏈”和更大的影響力，因此導(dǎo)致的結(jié)果之一就是破壞性更大。然而大部分開發(fā)者或組織在使用新的開源項(xiàng)目依賴時(shí)，沒有評(píng)估過對(duì)生產(chǎn)環(huán)境安全性的影響，當(dāng)然也可能是無法評(píng)估，因?yàn)闆]有任何能反映該項(xiàng)目安全性的數(shù)據(jù)和信息。

諸如谷歌這類大型公司會(huì)為此制定相關(guān)規(guī)范，他們要求工程師在引入新的開源依賴時(shí)必須遵循相應(yīng)的系統(tǒng)規(guī)定和流程，但這一過程往往會(huì)很繁瑣、需要手動(dòng)操作且容易導(dǎo)致出錯(cuò)。即便已制定規(guī)范，但要真正執(zhí)行也是一個(gè)問題，原因是許多項(xiàng)目和開發(fā)者受到資源限制，安全相關(guān)的工作在任務(wù)列表中往往處于最低優(yōu)先級(jí)，因此導(dǎo)致關(guān)鍵項(xiàng)目無法遵循良好的最佳安全實(shí)踐，從而容易遭受攻擊。

受此類問題困擾的谷歌開發(fā)了名為“Scorecards”的新項(xiàng)目，并在上周由開源安全基金會(huì) (OpenSSF) 宣布開源。

開源安全基金會(huì)由 Linux 基金會(huì)與多家硬件和軟件廠商合作創(chuàng)立，谷歌是其中一名創(chuàng)始董事會(huì)成員。

[[351686]]

Scorecards 也是 OpenSSF 自2020年8月成立以來發(fā)布的首批項(xiàng)目之一，其目標(biāo)是為開源項(xiàng)目自動(dòng)生成一個(gè) "安全分?jǐn)?shù)"，以幫助用戶確定用例的信任度、風(fēng)險(xiǎn)和安全態(tài)勢(shì)。

Scorecards 定義了初始評(píng)估標(biāo)準(zhǔn)，它被用于以一種完全自動(dòng)化的方式為開源項(xiàng)目生成一個(gè)評(píng)分卡。評(píng)分卡的每項(xiàng)檢查都可以被控制是否啟用，部分評(píng)估指標(biāo)包括定義良好的安全策略、代碼審查流程以及使用模糊測(cè)試和靜態(tài)代碼分析工具的持續(xù)測(cè)試覆蓋率。每項(xiàng)安全檢查都會(huì)返回一個(gè)布爾值以及信任度分?jǐn)?shù)。隨著 Scorecards 被廣泛使用，谷歌會(huì)通過 OpenSSF 的社區(qū)貢獻(xiàn)來改進(jìn)這些指標(biāo)。

查看文檔了解更多關(guān)于檢查項(xiàng)的詳細(xì)信息。

本文轉(zhuǎn)自O(shè)SCHINA。

本文標(biāo)題：2021 年，許多網(wǎng)站將無法在舊版 Android 上運(yùn)行

本文地址：https://www.oschina.net/news/120210/android-encryption-certs