| Разработчики: | |
| Дата премьеры системы: | июнь 2021 г |
| Отрасли: | Информационные технологии |
| Технологии: | Средства разработки приложений |
2021: Анонс бесплатного инструмента для проверки открытого ПО на дыры и устаревший код
В начале июля 2021 года Google выпустила бесплатный инструмент Scorecards для проверки открытого ПО на дыры и устаревший код. Он проверяет код на основе оценочных листов библиотеки OpenSSF и выдает «оценку риска» для программ с открытым исходным кодом.
Лишь некоторые организации включают системы для проверки открытого исходного кода на наличие проблем безопасности, но даже при наличии достаточных ресурсов это превращается в утомительный и подверженный ошибкам процесс. Проект Scorecards v2, включающий новые проверки безопасности и упрощение доступа к данным для анализа, должен улучшить проверку безопасности. Для разработчиков такая система неоценима: они смогут автоматически оценивать риски, чтобы принимать обоснованные решения о включении кода, поиске альтернативных решений или внесении улучшений.
В новую версию добавлено несколько новых проверок и выявление злонамеренных участников, которые могут вводить в код потенциальные лазейки. С помощью новой проверки Branch-Protection разработчики могут убедиться, что проект был проверен другим разработчиком перед включением в библиотеку кода. Пока эту проверку может выполнить только администратор репозитория из-за ограничений API GitHub.
Но даже если разработчики и партнеры приложили все усилия для организации безопасного пространства, плохой код может попасть в базу и остаться незамеченным. Google отмечает необходимость непрерывного фаззинга и статического тестирования кода, помогающего выявлять ошибки на ранних этапах жизненного цикла разработки. Проект Scorecards проверяет, использовались ли при включении кода в библиотеку инструменты фаззинга и SAST. Система Scorecard также проверяет, что рабочие процессы GitHub следуют принципу минимальных привилегий, делая токены GitHub доступными только для чтения по умолчанию. Это не позволяет злоумышленнику получить доступ к привилегированному токену GitHub, а вместе с ним и возможность отправить вредоносный код в репозиторий без проверки.[1]
Примечания
Подрядчики-лидеры по количеству проектов
Солар (Solar) (47) Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15) Форсайт (13) Unlimited Production (Анлимитед Продакшен, eXpress) (12) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (11) Другие (433) Солар (Solar) (6) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (4) Unlimited Production (Анлимитед Продакшен, eXpress) (4) РЖД-Технологии (3) Robin (Робин) (3) Другие (23) Unlimited Production (Анлимитед Продакшен, eXpress) (5) Солар (Solar) (4) Axiom JDK (Аксиом) (2) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (2) РеСолют (1) Другие (13)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Солар (Solar) (2, 49) Microsoft (41, 47) Oracle (49, 26) Hyperledger (Open Ledger Project) (1, 23) IBM (33, 18) Другие (666, 359) Солар (Solar) (1, 6) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4) Мобильные ТелеСистемы (МТС) (1, 4) РЖД-Технологии (1, 3) Другие (15, 24) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 5) Солар (Solar) (1, 4) Мобильные ТелеСистемы (МТС) (2, 3) Axiom JDK (Аксиом) (2, 2) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 2) Другие (13, 13) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4) Мобильные ТелеСистемы (МТС) (1, 4) Python Software Foundation (1, 3) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 3) Яндекс (Yandex) (1, 3) Другие (19, 25) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 1) Мобильные ТелеСистемы (МТС) (1, 1) Уральский центр систем безопасности (УЦСБ) (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
Solar appScreener (ранее Solar inCode) - 49 Hyperledger Fabric - 23 Windows Azure - 20 FIS Platform - 16 EXpress Защищенный корпоративный мессенджер - 16 Другие 364 EXpress Защищенный корпоративный мессенджер - 6 Solar appScreener (ранее Solar inCode) - 6 МТС Exolve - 4 Форсайт. Мобильная платформа (ранее HyperHive) - 3 РЖД и Робин: Облачная фабрика программных роботов - 3 Другие 14 EXpress Защищенный корпоративный мессенджер - 5 Solar appScreener (ранее Solar inCode) - 4 МТС Exolve - 2 Axiom JDK (ранее Liberica JDK до 2022) - 2 Газпром: Ивентум Конструктор приложений для организации и управления мероприятиями - 1 Другие 13 МТС Exolve - 4 EXpress Защищенный корпоративный мессенджер - 3 Python - 3 Yandex AI Studio - 3 Guardant SLK - 2 Другие 18 
