Google日前发布了最新的开源安全工具Scorecard v2版，以实现让开源安全检查变得更容易。此版本包括了新的安全检查、扩大被评分的项目数量等功能，这使得数据更易于被访问和分析。

对于开发人员而言，Scordcard有助于减少在维护项目供应链时不断评估持续变化的数据包所需的工作量。用户可以自动访问风险以做出有关接受程序的明智决定，寻找替代解决方案或与维护人员合作进行改进。

新功能如下：

识别风险：自去年以来，记分卡的覆盖范围有所扩大。该项目在Google的Know、Prevent、Fix框架之后添加了几项新检查。

发现恶意攻击者：具有恶意意图或被盗帐户的攻击者可能会在代码中引入潜在的后门。代码审查有助于减轻此类攻击。使用新的分支保护检查，开发人员可以在提交代码之前验证该项目是否强制执行其他开发人员的代码审查。目前，由于GitHub API限制，此检查只能由存储库管理员运行。对于第三方存储库，请改用信息较少的代码审查检查。

易受攻击的代码：尽管开发人员和同行评审已经做了最大努力，恶意代码仍然可以进入代码库且不被发现，这也是启用持续模糊测试和静态代码测试在开发生命周期的早期捕获错误的重要原因。启用上述两项测试后，就可以检查攻击者是否使用了模糊测试和SAST工具持续集成、部署了(CI/CD)管道。

开发系统入侵：GitHub项目使用的常见CI/CD解决方案是GitHub Actions。这一方案的缺点在于GitHub Actions可能会处理不受信任的用户输入，即攻击者可以制作恶意pull request请求以获得对特权GitHub令牌的访问权限，并借此将恶意代码推送到存储库而无需审查。为了降低这种风险，记分卡的令牌权限预防检查现在通过将GitHub令牌设置为默认只读来验证GitHub工作流程是否遵循最小权限原则。

不良依赖：显而易见，程序的安全性取决于其最弱的依赖项。但是了解依赖项的第一步就是声明它们，并且让用户的依赖项也声明它们。有了这些来源信息，用户就可以评估并降低程序的风险。

来源：安全牛