Clicky

Google Scorecards analiza el software de código abierto en busca de más riesgos de seguridad

Categoría: Noticias de Internet
Visitas: 515
Google Scorecards

Evaluará los criterios de seguridad para más de 50.000 proyectos de código abierto

Google ha lanzado una versión actualizada de Scorecards, su herramienta de seguridad automatizada que produce una "puntuación de riesgo" para iniciativas de código abierto, con comprobaciones y capacidades mejoradas para hacer que los datos generados por la utilidad sean accesibles para su análisis.

"Con tanto software hoy en día que depende de proyectos de código abierto, los consumidores necesitan una manera fácil de juzgar si sus dependencias son seguras", dijo el jueves el equipo de seguridad de código abierto de Google. "Scorecards ayuda a reducir el trabajo y el esfuerzo manual necesarios para evaluar continuamente los cambios de paquetes cuando se mantiene la cadena de suministro de un proyecto".

Scorecards tiene como objetivo automatizar el análisis de la postura de seguridad de los proyectos de código abierto, así como utilizar las métricas de salud de seguridad para mejorar de manera proactiva la postura de seguridad de otros proyectos críticos. Hasta la fecha, la herramienta se ha ampliado para evaluar los criterios de seguridad para más de 50.000 proyectos de código abierto.

Google Scorecards, flujo

Algunas de las nuevas adiciones incluyen verificaciones de contribuciones de autores maliciosos o cuentas comprometidas que pueden introducir posibles puertas traseras en el código, uso de fuzzing (por ejemplo, OSS-Fuzz) y herramientas de análisis de código estático (por ejemplo, CodeQL), signos de CI/CD comprometidos y malas dependencias.

"Anclar dependencias es útil en todos los lugares donde tenemos dependencias: no solo durante la compilación, sino también en Dockerfiles, flujos de trabajo CI/CD, etc.", dijo el equipo. "Scorecards comprueba estos antipatrones con la comprobación Frozen-Deps. Esta comprobación es útil para mitigar los ataques de dependencia maliciosos, como el reciente ataque CodeCov".

Google señaló también que una gran cantidad de proyectos analizados no se borran continuamente, y que ni definen una política de seguridad para informar vulnerabilidades ni fijan dependencias, al tiempo que subraya la necesidad de mejorar la seguridad de estos proyectos críticos y generar conciencia de los riesgos de seguridad generalizados.

Google Scorecards, análisis

El lanzamiento de Scorecards v2 se produce semanas después de que la empresa presentara un framework de un extremo a otro llamado "Niveles de cadena de suministro para artefactos de software" (Supply chain Levels for Software Artifacts o SLSA) para garantizar la integridad de los artefactos de software y evitar modificaciones no autorizadas durante el desarrollo y la implementación.