OpenSFF推出GitHub應用程式Allstar,可自動且持續地對GitHub專案,執行安全最佳實踐。藉由使用Allstar,專案擁有者可以檢查儲存庫安全政策遵守的狀況,並且設置必要的強制執行措施,在組織或是專案儲存庫中的設定和檔案更改時,觸發執行這些措施,進而降低開源社群的安全風險。

Google發布的Security Scorecards專案在Allstar中扮演重要角色,Security Scorecards是可評估儲存庫和相依項目安全風險的自動化工具,能夠以許多啟發式方法進行多種重要的檢查,像是專案是否使用分支保護,對構件進行加密簽章,或是需要程式碼審核等。

用戶透過這些分數,可以了解專案的安全狀況,而Allstar則從這些分數採取下一階段行動,供維護人員選擇自動執行特定檢查,當儲存庫無法通過特定檢查,則Allstar便會自動進行必要的更改來修復問題,簡單來說,Security Scorecards可以協助用戶評估專案安全狀態,而Allstar則可以協助用戶實現安全目標。

Allstar會根據安全政策,持續檢查GitHub API狀態和儲存庫檔案內容,並且在狀態不符合政策的時候,強制採取行動來修正問題。官方提到,Allstar能夠確保安全狀態的連續性,像是當有惡意攻擊者突然禁用分支保護,想要在重新啟用保護之前進行惡意更改,Allstar能夠偵測該行為並且採取行動。

接下來,Allstar還會加入自動相依項目更新,以及凍結相依性等功能。由於開源套件會定期發現和修復安全漏洞,而Allstar可以自動更新專案的相依項目,來排除已知漏洞,另外,跳過審查自動合併新的相依項目版本,是一種攻擊手法,而凍結檔案和部分固定檔案,可以防止受入侵的相依項目進到專案中。

OpenSSF提供一個公用的執行個體,供所有人安裝和使用,但是用戶也可以創建和執行私人的Allstar執行個體。


熱門新聞

Advertisement