| Разработчики: | |
| Дата премьеры системы: | июнь 2021 г |
| Отрасли: | Информационные технологии |
| Технологии: | Средства разработки приложений |
2021: Анонс бесплатного инструмента для проверки открытого ПО на дыры и устаревший код
В начале июля 2021 года Google выпустила бесплатный инструмент Scorecards для проверки открытого ПО на дыры и устаревший код. Он проверяет код на основе оценочных листов библиотеки OpenSSF и выдает «оценку риска» для программ с открытым исходным кодом.
Лишь некоторые организации включают системы для проверки открытого исходного кода на наличие проблем безопасности, но даже при наличии достаточных ресурсов это превращается в утомительный и подверженный ошибкам процесс. Проект Scorecards v2, включающий новые проверки безопасности и упрощение доступа к данным для анализа, должен улучшить проверку безопасности. Для разработчиков такая система неоценима: они смогут автоматически оценивать риски, чтобы принимать обоснованные решения о включении кода, поиске альтернативных решений или внесении улучшений.
В новую версию добавлено несколько новых проверок и выявление злонамеренных участников, которые могут вводить в код потенциальные лазейки. С помощью новой проверки Branch-Protection разработчики могут убедиться, что проект был проверен другим разработчиком перед включением в библиотеку кода. Пока эту проверку может выполнить только администратор репозитория из-за ограничений API GitHub.
Но даже если разработчики и партнеры приложили все усилия для организации безопасного пространства, плохой код может попасть в базу и остаться незамеченным. Google отмечает необходимость непрерывного фаззинга и статического тестирования кода, помогающего выявлять ошибки на ранних этапах жизненного цикла разработки. Проект Scorecards проверяет, использовались ли при включении кода в библиотеку инструменты фаззинга и SAST. Система Scorecard также проверяет, что рабочие процессы GitHub следуют принципу минимальных привилегий, делая токены GitHub доступными только для чтения по умолчанию. Это не позволяет злоумышленнику получить доступ к привилегированному токену GitHub, а вместе с ним и возможность отправить вредоносный код в репозиторий без проверки.[1]
Примечания
Подрядчики-лидеры по количеству проектов
Солар (ранее Ростелеком-Солар) (46) Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15) Форсайт (11) Axiom JDK (БеллСофт) ранее Bellsoft (10) Бипиум (Bpium) (10) Другие (387) Солар (ранее Ростелеком-Солар) (8) Финансовые Информационные Системы (ФИС, FIS, Финсофт) (4) Консом групп, Konsom Group (КонсОМ СКС) (2) IFellow (АйФэлл) (2) ЛАНИТ - Би Пи Эм (Lanit BPM) (2) Другие (30) Солар (ранее Ростелеком-Солар) (10) Форсайт (3) Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3) Cloud.ru (Облачные технологии) ранее SberCloud (2) КРИТ (KRIT) (2) Другие (13)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Солар (ранее Ростелеком-Солар) (2, 48) Microsoft (41, 47) Oracle (49, 26) Hyperledger (Open Ledger Project) (1, 23) IBM (33, 18) Другие (588, 302) Солар (ранее Ростелеком-Солар) (1, 8) Финансовые Информационные Системы (ФИС, FIS, Финсофт) (1, 4) Microsoft (4, 3) Oracle (2, 3) SAP SE (2, 2) Другие (16, 19) Солар (ранее Ростелеком-Солар) (1, 11) Форсайт (1, 3) Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1, 3) Сбербанк (1, 2) Cloud.ru (Облачные технологии) ранее SberCloud (1, 2) Другие (9, 9) Солар (ранее Ростелеком-Солар) (1, 6) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4) Мобильные ТелеСистемы (МТС) (1, 4) Форсайт (1, 3) Другие (14, 24) Мобильные ТелеСистемы (МТС) (2, 3) Солар (ранее Ростелеком-Солар) (1, 3) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 3) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 2) Сбербанк (1, 1) Другие (11, 11)Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
Solar appScreener (ранее Solar inCode) - 48 (48, 0) Hyperledger Fabric - 23 (23, 0) Windows Azure - 20 (20, 0) FIS Platform - 15 (15, 0) Форсайт. Мобильная платформа (ранее HyperHive) - 12 (12, 0) Другие 309 Solar appScreener (ранее Solar inCode) - 8 (8, 0) FIS Platform - 4 (4, 0) Siemens Xcelerator - 2 (2, 0) Парадокс: MES Builder - 2 (2, 0) Турбо X - 2 (2, 0) Другие 21 Solar appScreener (ранее Solar inCode) - 11 (11, 0) Форсайт. Мобильная платформа (ранее HyperHive) - 3 (3, 0) BSS Digital2Go - 3 (3, 0) Cloud ML Space - 2 (2, 0) Nexign Microservices Framework - 1 (1, 0) Другие 7 Solar appScreener (ранее Solar inCode) - 6 (6, 0) EXpress Защищенный корпоративный мессенджер - 6 (6, 0) МТС Exolve - 4 (4, 0) РЖД и Робин: Облачная фабрика программных роботов - 3 (3, 0) Форсайт. Мобильная платформа (ранее HyperHive) - 3 (3, 0) Другие 12 Solar appScreener (ранее Solar inCode) - 3 (3, 0) EXpress Защищенный корпоративный мессенджер - 3 (3, 0) МТС Exolve - 2 (2, 0) GreenData Платформа - 1 (1, 0) ФинПлатформа Т1 - 1 (1, 0) Другие 7 
