如今，安全漏洞日益困擾著大型開(kāi)源項(xiàng)目。根據(jù) RiskSense 的統(tǒng)計(jì)數(shù)據(jù)，與 2018 年相比，2019 年開(kāi)源軟件漏洞的數(shù)量增加了一倍多?？紤]到近 91% 的商業(yè)應(yīng)用程序包含過(guò)時(shí)或廢棄的開(kāi)源組件，因此安全漏洞的影響是深遠(yuǎn)的。

作為開(kāi)源軟件社區(qū)的一員，Google 非常清楚軟件供應(yīng)鏈攻擊對(duì)開(kāi)源項(xiàng)目構(gòu)成的威脅日益嚴(yán)重，而 Allstar 是其提高安全性的最新工具。

Allstar 是一款為 GitHub 項(xiàng)目提供自動(dòng)持續(xù)執(zhí)行安全最佳實(shí)踐的應(yīng)用程序。這款新應(yīng)用的工作原理是讓 GitHub 代碼庫(kù)中的項(xiàng)目所有者能夠檢查安全策略的遵守情況，設(shè)置所需的執(zhí)行操作，然后在項(xiàng)目庫(kù)中的設(shè)置或文件發(fā)生變更等情況時(shí)持續(xù)執(zhí)行這些操作。

Allstar 是另一個(gè)同樣由 Google 維護(hù)的開(kāi)源工具 Scorecards 的配套產(chǎn)品，Scorecards 可以自動(dòng)評(píng)估任何 GitHub 倉(cāng)庫(kù)及其依賴的風(fēng)險(xiǎn)。Scorecards 會(huì)檢查諸如項(xiàng)目是否使用分支保護(hù)、加密簽名發(fā)布工件或需要代碼審查等啟發(fā)式方法，并為每個(gè)類別生成一個(gè)評(píng)估后的分?jǐn)?shù)，幫助用戶了解哪些方面可能需要改進(jìn)。

Allstar 則可以在此基礎(chǔ)上進(jìn)行接管，給項(xiàng)目維護(hù)者提供一個(gè)更簡(jiǎn)單的方法來(lái)實(shí)現(xiàn)特定安全檢查的自動(dòng)執(zhí)行。因此，如果任何版本庫(kù)沒(méi)有通過(guò)安全檢查，Allstar 就會(huì)自動(dòng)介入，并進(jìn)行它認(rèn)為必要的修復(fù)，以解決這個(gè)問(wèn)題。通過(guò)這個(gè)程序可以讓開(kāi)發(fā)人員擺脫每日重復(fù)的檢查與修復(fù)工作。

Allstar 初始安全策略檢查/實(shí)施包括：

• 分支保護(hù)(針對(duì)未經(jīng)批準(zhǔn)的拉取請(qǐng)求、強(qiáng)制推送等);
• SECURITY.md 文件的存在，其中包含用于負(fù)責(zé)任的漏洞披露的定義策略;
• 對(duì)外部合作者執(zhí)行特定要求(例如，具有倉(cāng)庫(kù)管理員權(quán)限的用戶必須是組織內(nèi)成員);
• 如果在存儲(chǔ)庫(kù)中發(fā)現(xiàn)二進(jìn)制工件，則進(jìn)行檢測(cè)并發(fā)出警報(bào);

目前 Allstar 能夠執(zhí)行的安全策略檢查數(shù)量還比較有限，Google 計(jì)劃在未來(lái)幾個(gè)月內(nèi)逐步推出更多的策略 —— 包括凍結(jié)依賴和自動(dòng)更新依賴。

Google 高級(jí)項(xiàng)目經(jīng)理 Mike Maraya 表示：“簡(jiǎn)而言之，Scorecards 幫助開(kāi)發(fā)者衡量項(xiàng)目目前的安全狀況與想要達(dá)到的最終目標(biāo)，而 Allstar 則幫助你達(dá)成目標(biāo)。Allstar 仍處于開(kāi)發(fā)的早期階段，因此我們歡迎大家積極使用并在社區(qū)提供反饋。”

感興趣的開(kāi)發(fā)者可以訪問(wèn) Allstar 的 GitHub 頁(yè)面了解更多詳情。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Google 開(kāi)源 Allstar ，為 GitHub 項(xiàng)目持續(xù)實(shí)施最佳安全實(shí)踐

本文地址：https://www.oschina.net/news/155179/google-open-source-allstar