谷歌和 OpenSSF 發布了一個名為 Allstar 的新應用程序,它為GitHub項目提供自動持續執行安全最佳實踐。作為開源軟件(OSS) 社區的一員,這家搜索巨頭非常清楚軟件供應鏈攻擊對開源項目構成的日益嚴重的威脅,Allstar 是其提高其安全性的最新努力。
借助 Allstar,GitHub 項目所有者可以檢查安全策略的遵守情況,設置所需的強制措施,并根據 OpenSFF 的新博客文章在組織或項目存儲庫中觸發 ba 設置或文件更改時持續實施這些強制措施。
通過使用這個新的 GitHub 應用程序,開源社區可以主動降低安全風險,同時盡可能減少工作流程的摩擦。
Allstar 是 Google 和 OpenSFF 的自動化工具Scorecards的伴侶,用于評估存儲庫及其依賴項的風險。
雖然安全記分卡會檢查許多重要的啟發式方法以提供分數,以幫助用戶了解需要改進的特定領域,以加強其項目的安全狀況,但 Allstar 允許維護人員選擇自動執行特定檢查。但是,如果存儲庫未通過啟用的檢查,Allstar 會進行干預以進行必要的更改以修復問題。
Allstar 本身通過根據定義的安全策略持續檢查預期的 GitHub API 狀態和存儲庫文件內容(例如存儲庫設置、分支設置和工作流設置)并在預期狀態與策略不匹配時應用強制措施(提交問題、更改設置)來工作。
盡管 OpenSFF 運行自己的 Allstar 實例,任何人都可以安裝和使用,但出于安全或自定義原因,GitHub 項目所有者也可以創建和運行自己的實例。
要開始使用 Allstar,GitHub 項目所有者可以在此處安裝 Allstar 應用程序并使用這些快速入門說明進行配置。
在韓國生活和工作了七年之后,Anthony 現在居住在德克薩斯州的休斯頓,在那里他為 ITProPortal 和 TechRadar 撰寫了有關各種技術主題的文章。從他記事起,他就一直是一名技術愛好者,并花了無數個小時研究和修補 PC、手機和游戲機。