Google ha lanzado una versión actualizada de Scorecards, su herramienta de seguridad automatizada que produce una «puntuación de riesgo» para iniciativas de código abierto, con controles y capacidades mejorados para que los datos generados por la utilidad sean accesibles para su análisis.

«Con tanto software hoy en día que depende de proyectos de código abierto, los consumidores necesitan una manera fácil de juzgar si sus dependencias son seguras», dijo el jueves el equipo de seguridad de código abierto de Google. «Scorecards ayuda a reducir los baños y el esfuerzo manual necesarios para evaluar continuamente el cambio de paquetes al mantener la cadena de suministro de un proyecto».

Scorecards tiene como objetivo automatizar el análisis de la postura de seguridad de los proyectos de código abierto, así como utilizar las métricas de salud de la seguridad para mejorar de manera proactiva la postura de seguridad de otros proyectos críticos. Hasta la fecha, la herramienta se ha ampliado para evaluar los criterios de seguridad de más de 50 000 proyectos de código abierto.

Algunas de las nuevas incorporaciones incluyen comprobaciones de contribuciones de autores malintencionados o cuentas comprometidas que pueden introducir puertas traseras potenciales en el código, uso de fuzzing (p. ej., OSS-Fuzz) y herramientas de análisis de código estático (p. ej., CodeQL), señales de CI/CD compromiso y malas dependencias.

«Fijar dependencias es útil en todos los lugares donde tenemos dependencias: no solo durante la compilación, sino también en Dockerfiles, flujos de trabajo de CI/CD, etc.», dijo el equipo. «Scorecards verifica estos antipatrones con la verificación Frozen-Deps. Esta verificación es útil para mitigar los ataques de dependencia maliciosos, como el reciente ataque CodeCov».

Google también señaló que una gran cantidad de proyectos analizados no se fuzzean continuamente, y que tampoco definen una política de seguridad para informar vulnerabilidades ni fijan dependencias, al tiempo que subraya la necesidad de mejorar la seguridad de estos proyectos críticos y generar conciencia de los riesgos de seguridad generalizados.

El lanzamiento de Scorecards v2 se produce semanas después de que la empresa presentara una vista previa de un marco integral llamado «Niveles de la cadena de suministro para artefactos de software» (o SLSA) para garantizar la integridad de los artefactos de software y evitar modificaciones no autorizadas en el transcurso del desarrollo y la implementación. tubería.