Github và Google đã công bố phiên bản 4 của Dự án thẻ điểm của Quỹ bảo mật nguồn mở (OpenSSF). Nó cung cấp các biện pháp kiểm tra bảo mật mới, hành động GitHub của Thẻ điểm và một bản mở rộng lớn đối với các bản quét hàng tuần của dự án đối với các dự án mã nguồn mở quan trọng.

OpenSSF ban đầu khởi chạy Dự án Thẻ điểm vào năm 2020. Kế hoạch này là cung cấp một công cụ bảo mật tự động tạo xếp hạng bảo mật cho các dự án mã nguồn mở và giảm công lao động cần thiết để duy trì chúng một cách an toàn.

Công cụ này cung cấp một loạt các bản quét tự động đánh giá các phương thức bảo mật của dự án. Họ kiểm tra các lỗ hổng phổ biến và các vấn đề bảo mật, chẳng hạn như các tệp nhị phân đã đăng ký hoặc thiếu các bản phát hành được ký bằng mật mã.

Kể từ khi ra mắt Thẻ điểm V2 vào giữa năm 2020, dự án đã “phát triển ổn định lên hơn 40 cộng tác viên duy nhất và 18 lần kiểm tra bảo mật đã thực hiện”, theo một bài đăng về sự ra mắt V4 từ Blog bảo mật trực tuyến của Google.

Thẻ điểm V4 có gì thay đổi đối với Cộng đồng nguồn mở?

Một trong những thay đổi quan trọng nhất trong V4 có thể là hành động GitHub mới. Các nhà phát triển mã nguồn mở sử dụng nó để tự động hóa quá trình xác định tác động bảo mật của bất kỳ thay đổi nào trong dự án. Điều này thường phải được thực hiện theo cách thủ công, có nghĩa là nó có thể giúp tiết kiệm thời gian và đảm bảo các nhà phát triển cân nhắc các tác động bảo mật của mỗi ca thay đổi.

Hành động có thể được sử dụng trong bất kỳ kho lưu trữ công cộng nào bằng cách làm theo hướng dẫn chính xác từ nhóm GitHub.

Các kiểm tra bảo mật mới cũng hữu ích cho các nhà phát triển. V4 bổ sung một số kiểm tra bảo mật bổ sung , theo bài đăng trên blog OpenSSF về những thay đổi bảo mật trong phiên bản mới. Chúng bao gồm kiểm tra giấy phép, "phát hiện sự hiện diện của giấy phép dự án" và kiểm tra Quy trình làm việc nguy hiểm, "phát hiện việc sử dụng nguy hiểm của trình kích hoạt pull_request_target và rủi ro chèn tập lệnh trong quy trình làm việc của GitHub."

Theo nhóm OpenSSF, kiểm tra Quy trình làm việc nguy hiểm là kiểm tra đầu tiên trong dự án có xếp hạng mức độ rủi ro "Nghiêm trọng" do kẻ tấn công có thể khai thác các lỗ hổng này dễ dàng như thế nào. Kiểm tra mới thông báo cho các nhà phát triển về những vấn đề này và cung cấp hướng dẫn về cách chúng có thể được vá. Đây là một bước quan trọng trong việc đảm bảo người dùng phần mềm mã nguồn mở giữ cho các dự án của họ an toàn trước tin tặc.

Thẻ điểm V4 cũng mở rộng đáng kể số lần quét hàng tuần của dự án đối với các dự án nguồn mở quan trọng. Trong những tháng trước khi ra mắt, nhóm Thẻ điểm đã tăng quy mô quét từ 50.000 lên 1 triệu dự án. Chúng được chọn dựa trên tầm quan trọng có thể có bằng cách sử dụng số lượng phụ thuộc trực tiếp của chúng.

V4 cũng thay đổi thông tin mà các bản quét này cung cấp. Thay vì hệ thống vượt qua được sử dụng trước đây, V4 giờ đây xếp loại các dự án được quét theo thang điểm từ 1 đến 10 cho mỗi kho lưu trữ. Kết quả quét có sẵn công khai thông qua API Thẻ điểm hoặc bảng điều khiển số liệu OpenSSF .

Thẻ điểm V4 có thể giúp tăng cường bảo mật nguồn mở

Các công cụ mới có sẵn trong V4 sẽ giúp các nhà phát triển các dự án mã nguồn mở đảm bảo an ninh dễ dàng hơn nhiều. Điều này bảo vệ cộng đồng nguồn mở và người dùng cuối của các ứng dụng, dịch vụ và nền tảng phụ thuộc vào các tiện ích của nó.

Công chúng đang trở nên thông thái hơn khi nói đến an ninh mạng. Khoảng 84% người dùng điện thoại thông minh coi quyền riêng tư và bảo mật là những yếu tố quan trọng mà họ cân nhắc trước khi cài đặt ứng dụng mới. Tuy nhiên, các phương pháp phát triển sai lầm có thể khiến chúng dễ bị tấn công.

Các lỗi bảo mật nguồn mở gần đây, như lỗ hổng log4j được phát hiện vào tháng 1, đã chứng minh rằng bảo mật nguồn mở quan trọng hơn bao giờ hết - và có khả năng là một vấn đề an ninh quốc gia. Đồng thời, các nhà phát triển mã nguồn mở thường đóng góp thời gian và tài nguyên cho các dự án mà họ thực hiện.

Một dự án như Thẻ điểm giúp các nhà phát triển tự động hóa một số khía cạnh tốn nhiều công sức của bảo mật nguồn mở. Những lần kiểm tra và quét mới này có thể giúp bảo mật trong phát triển mã nguồn mở khả thi hơn nhiều đối với những người tạo dự án.

Phiên bản mới của thẻ điểm OpenSSF cung cấp công cụ bảo mật cho nhà phát triển nguồn mở

Các công cụ và dự án nguồn mở quan trọng đối với an ninh mạng hơn bao giờ hết. Việc khai thác hoặc lỗ hổng bảo mật đáng kể có thể đe dọa một số lượng lớn các cá nhân và tổ chức lớn.

Thực hiện các phương pháp bảo mật tốt có thể là một thách thức, đặc biệt là đối với các nhà phát triển mã nguồn mở, những người không nhất thiết phải nhận tiền bồi thường để duy trì các dự án của họ. Các công cụ như Thẻ điểm OpenSSF có thể giúp tự động hóa một số tác vụ thủ công cần thiết để duy trì tính bảo mật của dự án. Các nhà phát triển và người dùng cuối phụ thuộc vào các dự án nguồn mở sẽ thu được lợi ích an toàn đáng kể từ các công cụ này.

Bài gốc ở đây.

Đọc thêm các bài báo về khoa học dữ liệu trên OpenDataScience.com , bao gồm các bài hướng dẫn và hướng dẫn từ cấp độ mới bắt đầu đến nâng cao! Theo dõi bản tin hàng tuần của chúng tôi tại đây và nhận những tin tức mới nhất vào thứ Năm hàng tuần. Bạn cũng có thể được đào tạo về khoa học dữ liệu theo yêu cầu mọi lúc mọi nơi với nền tảng Đào tạo Ai + của chúng tôi. Cũng theo dõi Ấn phẩm Phương tiện đang phát triển nhanh chóng của chúng tôi, Tạp chí ODSC , và yêu cầu trở thành một nhà văn.