對于IT從業者來說,Marc Andreessen 十年前提出“軟體吞噬世界”的觀點早已耳熟能詳,無論是私人生活還是公共領域,軟體為現代社會的方方面面提供動力,對現代經濟和國家安全至關重要,
開源已經吞噬軟體世界也是近幾年非常流行的觀點,Linux 基金會曾預測自由開源軟體(FOSS)占現代軟體的70%~90%,不僅僅是現代軟體由大量的開源組件構成,而且 IT 行業的從業人員也更愿意與給開源社區做貢獻的供應商合作,
由于開源軟體靈活、低成本、通過社區專案推動創新的特性,它們被廣泛使用,而由于多人協作參與從而專案可以獲得更好的安全性,對于大型開源專案而言更是如此,盡管如此,開源軟體也有其自身的問題,包括受影響代碼的常見漏洞和暴露(CVE),
CVE是 MITRE 的一個專案,致力于 “識別、定義和分類公開披露的網路安全漏洞”,然而,CNCF 在其軟體供應鏈最佳實踐白皮書中指出,CVE 是“事后指標”,即它們所列舉的漏洞都已經被公開披露,它們也只是與軟體相關的風險的一種型別,
出于這一原因,組織應該使用其他方法來評估他們所使用的開源專案的安全狀態,最著名的專案之一是開源安全基金會(OpenSSF)的 Scorecards 專案,
專案地址:https://github.com/ossf/scorecard
什么是 OpenSSF Scorecards?
Scorecards 旨在為開源專案自動生成安全指數來幫助專案的使用者和組織做出風險知情的決策,企業正在大量使用開源依賴項,但確定這些依賴項風險仍是一項手動作業,Scorecards 專案旨在采用自動啟發式(automated heuristics)和安全檢查來減輕負擔,最終在0到10的評分表上生成安全指數,它在評估開源軟體專案的安全問題時,與安全領導者倡導的最佳實踐(如簽名或SAST)保持一致,

OpenSSF Scorecards對風險嚴重程度采用分層計分
Scorecards 可以基于直接依賴項掃描100萬個最關鍵的開源專案,并定期將結果發布到公共資料集上,除了利用公開的資料集外,企業還可以使用 GitHub Action 對自己的 GitHub 專案運行 Scorecards,當 Repo 有變化時,GitHub Action 就會運行,并向這些專案的維護者提供告警,
Scorecards 專案使用【關鍵】【高】【中】【低】的評分標準,這也是大多數安全從業者所熟悉的標準,它還使用一個標準的檢查串列,針對你的目標專案進行檢查,無論是公開的專案還是原生使用的私有專案,
你還可以深入了解其中一些檢查,包括基礎的安全實踐,如使用分支保護、加密簽名發布以及存在未修復的漏洞,Scorecards 專案采用 OSV 漏洞資料庫(osv.dev)來檢測未修復漏洞的存在,這是一個為開源專案設計的分布式漏洞資料庫,它采用OpenSSF OSV 格式,OSV的核心是聚合使用OSV模式的其他漏洞資料庫,如 GitHub Security Advisories 和全球安全資料庫等,OSC還支持API和命令列界面(CLI)工具,用于掃描 CycloneDX 或 SPDX 格式的 SBOMs,
Scorecards 專案有雙周會和 Slack channel,它由來自谷歌、Datto和思科等公司的工程師主導,自成立以來已經有近3000顆star,還有用戶將其添加至收藏夾,隨著企業繼續推動其開源軟體采用治理實踐的成熟,該專案將不可避免地越來越受到青睞,
企業如何使用 OpenSSF Scorecards?
當前,企業對開源軟體的治理和風險管理能力仍處于初級階段,而近年來頻發的軟體供應鏈攻擊事件將是一個巨大的推動力,促進企業加強軟體供應鏈的安全實踐,目前我們有 OpenSSF 安全動員計劃、SLSA、《安全軟體開發框架》(SSDF)以及其他最佳實踐指南,所有這些都涉及到企業對開源軟體使用的管理,并確保這種使用與企業對風險的容忍度一致,
盡管聽起來很簡單,但要在整個強大的開源專案和組件的生態中做到這一點是十分具有挑戰性的,OpenSSF的Scorecards專案提供了一種自動化的方式來獲得對超過100萬個OSS專案的安全和風險洞察力,并將該專案直接用于他們自己的軟體和內部的專案,
企業可以通過CLI對不屬于他們的專案使用 Scorecards,也可以對 npm、Pypi 或 RubyGems 等專案使用軟體包管理器,Scorecards 也可以作為 Docker 容器使用,
企業和個人開發者都可以參與該專案,包括提交需求檢查,以便進行評分評估,組織也可以自定義使用 Scorecards,比如只運行特定的檢查,或者與同行業的特定安全要求保持一致,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/501360.html
標籤:其他
