يتوفر إجراء بطاقات الأداء من سوق GitHub وهو مجاني للاستخدام.
أعلنت مؤسسة Open Source Security Foundation (OpenSSF) و GitHub و Google يوم الأربعاء عن إطلاق Scorecards V4 ، والذي يتضمن توسيع نطاق أكبر ، وفحص أمان جديد ، و Scorecards GitHub Action الجديد لتسهيل أتمتة الأمان.
أطلقت OpenSSF بطاقات الأداء في نوفمبر 2020 ، مما أدى إلى إنشاء أداة أمان مؤتمتة تنتج "درجة مخاطر" لمشاريع مفتوحة المصدر وتساعد على تقليل الجهد والجهد اليدوي المطلوبين للتقييم المستمر للحزم المتغيرة عند الحفاظ على سلسلة التوريد للمشروع.
منذ إعلان Google و OpenSSF في يوليو 2021 عن Scorecards V2 ، نما مشروع Scorecards بشكل مطرد ليشمل أكثر من 40 مساهمًا فريدًا و 18 فحصًا أمنيًا تم تنفيذه.
يعمل إجراء بطاقات قياس الأداء ، الذي تم إصداره بالشراكة مع GitHub ، على أتمتة العملية المتعلقة بكيفية الحكم على ما إذا كانت التغييرات في المشروع قد أثرت على أمانه. في السابق ، كان يجب القيام بمثل هذه المهام يدويًا.
The Action متاح من GitHub's Marketplace وهو مجاني للاستخدام. يمكن تثبيته على أي مستودع عام باتباع هذه التوجيهات .
"منذ إعلاننا في يوليو عن بطاقات الأداء V2 ، نما مشروع بطاقات الأداء - وهو أداة أمان آلية للإبلاغ عن ممارسات سلسلة التوريد المحفوفة بالمخاطر في مشاريع مفتوحة المصدر - بشكل مطرد ليشمل أكثر من 40 مساهمًا فريدًا و 18 فحصًا أمنيًا تم تنفيذه. واليوم نحن فخورون بالإعلان عن الإصدار 4 "إصدار بطاقات الأداء ، مع توسيع نطاق أكبر ، وفحص أمان جديد ، وبطاقات أداء جديدة GitHub Action لتسهيل أتمتة الأمان" ، قال أعضاء فريق Google Open Source Security Team لوران سيمون وعظيم شيخ.
"تم إصدار Scorecards Action بالشراكة مع GitHub وهو متاح من GitHub's Marketplace . يجعل الإجراء استخدام بطاقات الأداء أسهل من أي وقت مضى: يتم تشغيله تلقائيًا على تغييرات المستودع لتنبيه المطورين حول ممارسات سلسلة التوريد المحفوفة بالمخاطر. يمكن للقائمين على الصيانة عرض التنبيهات على كود GitHub لوحة معلومات المسح ، وهي متاحة مجانًا للمستودعات العامة على GitHub.com وعبر GitHub Advanced Security للمستودعات الخاصة. "
أضاف الاثنان أنهما قاما بتوسيع نطاق عمليات مسح بطاقات الأداء الأسبوعية الخاصة بهما إلى أكثر من مليون مستودعات GitHub ودخلوا في شراكة مع موقع Open Source Insights على الويب لسهولة وصول المستخدم إلى البيانات.
أطلقت OpenSSF بطاقات الأداء في نوفمبر 2020 ، مما أدى إلى إنشاء أداة أمان مؤتمتة تنتج "درجة مخاطر" لمشاريع مفتوحة المصدر وتساعد على تقليل الجهد والجهد اليدوي المطلوبين للتقييم المستمر للحزم المتغيرة عند الحفاظ على سلسلة التوريد للمشروع.
منذ إعلان Google و OpenSSF في يوليو 2021 عن Scorecards V2 ، نما مشروع Scorecards بشكل مطرد ليشمل أكثر من 40 مساهمًا فريدًا و 18 فحصًا أمنيًا تم تنفيذه.
يعمل إجراء بطاقات قياس الأداء ، الذي تم إصداره بالشراكة مع GitHub ، على أتمتة العملية المتعلقة بكيفية الحكم على ما إذا كانت التغييرات في المشروع قد أثرت على أمانه. في السابق ، كان يجب القيام بمثل هذه المهام يدويًا.
The Action متاح من GitHub's Marketplace وهو مجاني للاستخدام. يمكن تثبيته على أي مستودع عام باتباع هذه التوجيهات .
"منذ إعلاننا في يوليو عن بطاقات الأداء V2 ، نما مشروع بطاقات الأداء - وهو أداة أمان آلية للإبلاغ عن ممارسات سلسلة التوريد المحفوفة بالمخاطر في مشاريع مفتوحة المصدر - بشكل مطرد ليشمل أكثر من 40 مساهمًا فريدًا و 18 فحصًا أمنيًا تم تنفيذه. واليوم نحن فخورون بالإعلان عن الإصدار 4 "إصدار بطاقات الأداء ، مع توسيع نطاق أكبر ، وفحص أمان جديد ، وبطاقات أداء جديدة GitHub Action لتسهيل أتمتة الأمان" ، قال أعضاء فريق Google Open Source Security Team لوران سيمون وعظيم شيخ.
"تم إصدار Scorecards Action بالشراكة مع GitHub وهو متاح من GitHub's Marketplace . يجعل الإجراء استخدام بطاقات الأداء أسهل من أي وقت مضى: يتم تشغيله تلقائيًا على تغييرات المستودع لتنبيه المطورين حول ممارسات سلسلة التوريد المحفوفة بالمخاطر. يمكن للقائمين على الصيانة عرض التنبيهات على كود GitHub لوحة معلومات المسح ، وهي متاحة مجانًا للمستودعات العامة على GitHub.com وعبر GitHub Advanced Security للمستودعات الخاصة. "
أضاف الاثنان أنهما قاما بتوسيع نطاق عمليات مسح بطاقات الأداء الأسبوعية الخاصة بهما إلى أكثر من مليون مستودعات GitHub ودخلوا في شراكة مع موقع Open Source Insights على الويب لسهولة وصول المستخدم إلى البيانات.
متصفح الجوجل
أوضحت مؤسسة Open Source Security Foundation في منشور مدونة أنه على الرغم من أن العالم يعمل على برامج مفتوحة المصدر ، فإن العديد من المشاريع مفتوحة المصدر تنخرط في سلوك واحد على الأقل محفوف بالمخاطر - مثل عدم تمكين حماية الفروع ، أو تثبيت التبعيات ، أو عدم تمكين تحديثات التبعية التلقائية .
"تسهل بطاقات الأداء تقييم الحزمة قبل استهلاكها: يؤدي إجراء فحص بسطر واحد من التعليمات البرمجية إلى إرجاع الدرجات الفردية من 0 إلى 10 تصنيف كل ممارسة أمان فردية (" فحوصات ") للمشروع والنتيجة الإجمالية للمشروع بشكل عام الأمان. إصدار اليوم لبطاقات الأداء GitHub Action يجعل الأمر أسهل من أي وقت مضى للمطورين للبقاء في صدارة وضعهم الأمني ، "قالت المنظمة.
"تعمل بطاقات Scorecards GitHub Action الجديدة على أتمتة هذه العملية: بمجرد التثبيت ، يقوم الإجراء بإجراء مسح لبطاقات الأداء بعد أي تغيير في المستودع. يمكن للقائمين على الصيانة عرض تنبيهات الأمان في لوحة معلومات المسح في GitHub ومعالجة أي ممارسات سلسلة إمداد محفوفة بالمخاطر أدخلها التغيير."
ستتضمن جميع التنبيهات الآن مدى خطورة المخاطر والملف والخط الذي تحدث فيه المشكلة وخطوات العلاج لإصلاح المشكلة. يضيف الإصدار الأخير أيضًا فحص الترخيص ، الذي يكتشف وجود ترخيص مشروع ، وفحص Dangerous-Workflow ، الذي يكتشف الاستخدام الخطير لمشغل pull_request_target ومخاطر حقن البرنامج النصي في مهام سير عمل GitHub .
لقد تبنى عدد من المشاريع مفتوحة المصدر بالفعل إجراء بطاقات الأداء ، بما في ذلك Envoy ، و distroless ، و cosign ، و rekor ، و kaniko .
قال هارفي توتش من المبعوث: "تزودنا بطاقات قياس الأداء بالقدرة على اختبار التبعيات الجديدة بسرعة في مشروع Envoy".
"لقد وجدنا أن هذه خطوة قيّمة في فحص التبعيات الجديدة للسمات المعروفة جيدًا وقمنا بدمج بطاقات قياس الأداء في معايير قبول التبعية الخاصة بنا. تعد الخصائص القابلة للفحص الآلي جزءًا أساسيًا من عملية الأمان السليمة."
أوضحت مؤسسة Open Source Security Foundation في منشور مدونة أنه على الرغم من أن العالم يعمل على برامج مفتوحة المصدر ، فإن العديد من المشاريع مفتوحة المصدر تنخرط في سلوك واحد على الأقل محفوف بالمخاطر - مثل عدم تمكين حماية الفروع ، أو تثبيت التبعيات ، أو عدم تمكين تحديثات التبعية التلقائية .
"تسهل بطاقات الأداء تقييم الحزمة قبل استهلاكها: يؤدي إجراء فحص بسطر واحد من التعليمات البرمجية إلى إرجاع الدرجات الفردية من 0 إلى 10 تصنيف كل ممارسة أمان فردية (" فحوصات ") للمشروع والنتيجة الإجمالية للمشروع بشكل عام الأمان. إصدار اليوم لبطاقات الأداء GitHub Action يجعل الأمر أسهل من أي وقت مضى للمطورين للبقاء في صدارة وضعهم الأمني ، "قالت المنظمة.
"تعمل بطاقات Scorecards GitHub Action الجديدة على أتمتة هذه العملية: بمجرد التثبيت ، يقوم الإجراء بإجراء مسح لبطاقات الأداء بعد أي تغيير في المستودع. يمكن للقائمين على الصيانة عرض تنبيهات الأمان في لوحة معلومات المسح في GitHub ومعالجة أي ممارسات سلسلة إمداد محفوفة بالمخاطر أدخلها التغيير."
ستتضمن جميع التنبيهات الآن مدى خطورة المخاطر والملف والخط الذي تحدث فيه المشكلة وخطوات العلاج لإصلاح المشكلة. يضيف الإصدار الأخير أيضًا فحص الترخيص ، الذي يكتشف وجود ترخيص مشروع ، وفحص Dangerous-Workflow ، الذي يكتشف الاستخدام الخطير لمشغل pull_request_target ومخاطر حقن البرنامج النصي في مهام سير عمل GitHub .
لقد تبنى عدد من المشاريع مفتوحة المصدر بالفعل إجراء بطاقات الأداء ، بما في ذلك Envoy ، و distroless ، و cosign ، و rekor ، و kaniko .
قال هارفي توتش من المبعوث: "تزودنا بطاقات قياس الأداء بالقدرة على اختبار التبعيات الجديدة بسرعة في مشروع Envoy".
"لقد وجدنا أن هذه خطوة قيّمة في فحص التبعيات الجديدة للسمات المعروفة جيدًا وقمنا بدمج بطاقات قياس الأداء في معايير قبول التبعية الخاصة بنا. تعد الخصائص القابلة للفحص الآلي جزءًا أساسيًا من عملية الأمان السليمة."
