Google Scorecards

Продукт
Разработчики: Google
Дата премьеры системы: июнь 2021 г
Отрасли: Информационные технологии
Технологии: Средства разработки приложений

2021: Анонс бесплатного инструмента для проверки открытого ПО на дыры и устаревший код

В начале июля 2021 года Google выпустила бесплатный инструмент Scorecards для проверки открытого ПО на дыры и устаревший код. Он проверяет код на основе оценочных листов библиотеки OpenSSF и выдает «оценку риска» для программ с открытым исходным кодом.

Лишь некоторые организации включают системы для проверки открытого исходного кода на наличие проблем безопасности, но даже при наличии достаточных ресурсов это превращается в утомительный и подверженный ошибкам процесс. Проект Scorecards v2, включающий новые проверки безопасности и упрощение доступа к данным для анализа, должен улучшить проверку безопасности. Для разработчиков такая система неоценима: они смогут автоматически оценивать риски, чтобы принимать обоснованные решения о включении кода, поиске альтернативных решений или внесении улучшений.

Google представила бесплатный инструмент Scorecards для проверки открытого ПО на дыры и устаревший код

В новую версию добавлено несколько новых проверок и выявление злонамеренных участников, которые могут вводить в код потенциальные лазейки. С помощью новой проверки Branch-Protection разработчики могут убедиться, что проект был проверен другим разработчиком перед включением в библиотеку кода. Пока эту проверку может выполнить только администратор репозитория из-за ограничений API GitHub.

Но даже если разработчики и партнеры приложили все усилия для организации безопасного пространства, плохой код может попасть в базу и остаться незамеченным. Google отмечает необходимость непрерывного фаззинга и статического тестирования кода, помогающего выявлять ошибки на ранних этапах жизненного цикла разработки. Проект Scorecards проверяет, использовались ли при включении кода в библиотеку инструменты фаззинга и SAST. Система Scorecard также проверяет, что рабочие процессы GitHub следуют принципу минимальных привилегий, делая токены GitHub доступными только для чтения по умолчанию. Это не позволяет злоумышленнику получить доступ к привилегированному токену GitHub, а вместе с ним и возможность отправить вредоносный код в репозиторий без проверки.[1]

Примечания



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Солар (ранее Ростелеком-Солар) (46)
  Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15)
  Форсайт (11)
  Бипиум (Bpium) (10)
  Axiom JDK (БеллСофт) ранее Bellsoft (10)
  Другие (388)

  Солар (ранее Ростелеком-Солар) (8)
  Финансовые Информационные Системы (ФИС, FIS, Финсофт) (4)
  Консом групп, Konsom Group (КонсОМ СКС) (2)
  IFellow (АйФэлл) (2)
  ЛАНИТ - Би Пи Эм (Lanit BPM) (2)
  Другие (30)

  Солар (ранее Ростелеком-Солар) (10)
  Форсайт (3)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
  КРИТ (KRIT) (2)
  Cloud.ru (Облачные технологии) ранее SberCloud (2)
  Другие (13)

  Солар (ранее Ростелеком-Солар) (6)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (4)
  Unlimited Production (Анлимитед Продакшен, eXpress) (4)
  РЖД-Технологии (3)
  Robin (Робин) (3)
  Другие (23)

  Солар (ранее Ростелеком-Солар) (3)
  Unlimited Production (Анлимитед Продакшен, eXpress) (3)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (2)
  Т1 Иннотех (ГК Иннотех) (1)
  Axiom JDK (БеллСофт) ранее Bellsoft (1)
  Другие (8)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Солар (ранее Ростелеком-Солар) (2, 48)
  Microsoft (41, 47)
  Oracle (49, 26)
  Hyperledger (Open Ledger Project) (1, 23)
  IBM (33, 18)
  Другие (590, 303)

  Солар (ранее Ростелеком-Солар) (1, 8)
  Финансовые Информационные Системы (ФИС, FIS, Финсофт) (1, 4)
  Microsoft (4, 3)
  Oracle (2, 3)
  SAP SE (2, 2)
  Другие (16, 19)

  Солар (ранее Ростелеком-Солар) (1, 11)
  Форсайт (1, 3)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1, 3)
  Сбербанк (1, 2)
  Cloud.ru (Облачные технологии) ранее SberCloud (1, 2)
  Другие (9, 9)

  Солар (ранее Ростелеком-Солар) (1, 6)
  Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4)
  Мобильные ТелеСистемы (МТС) (1, 4)
  SL Soft (СЛ Софт) (1, 3)
  Другие (14, 24)

  Мобильные ТелеСистемы (МТС) (2, 3)
  Unlimited Production (Анлимитед Продакшен, eXpress) (1, 3)
  Солар (ранее Ростелеком-Солар) (1, 3)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 2)
  Т1 Консалтинг (Т1 Инновации) (1, 1)
  Другие (11, 11)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Solar appScreener (ранее Solar inCode) - 48
  Hyperledger Fabric - 23
  Windows Azure - 20
  FIS Platform - 15
  Форсайт. Мобильная платформа (ранее HyperHive) - 12
  Другие 323

  Solar appScreener (ранее Solar inCode) - 8
  FIS Platform - 4
  Java - 2
  Турбо X - 2
  Парадокс: MES Builder - 2
  Другие 22

  Solar appScreener (ранее Solar inCode) - 11
  Форсайт. Мобильная платформа (ранее HyperHive) - 3
  BSS Digital2Go - 3
  Cloud ML Space - 2
  Avaya Breeze (Avaya Engagement Development Platform) - 1
  Другие 8

  Solar appScreener (ранее Solar inCode) - 6
  EXpress Защищенный корпоративный мессенджер - 6
  МТС Exolve - 4
  Форсайт. Мобильная платформа (ранее HyperHive) - 3
  РЖД и Робин: Облачная фабрика программных роботов - 3
  Другие 14

  Solar appScreener (ранее Solar inCode) - 3
  EXpress Защищенный корпоративный мессенджер - 3
  МТС Exolve - 2
  МТС: Ocean Облачная платформа - 1
  Т1: Сфера Платформа производства ПО - 1
  Другие 8