Το νέο εργαλείο Google Scorecards σαρώνει λογισμικό ανοιχτού κώδικα για περισσότερους κινδύνους ασφαλείας
Η Google κυκλοφόρησε μια ενημερωμένη έκδοση του Scorecards, το οποίο είναι ένα αυτοματοποιημένο εργαλείο ασφαλείας που παράγει ένα «σκορ κινδύνου» για συμβάντα σε ανοιχτό κώδικα, με βελτιωμένους ελέγχους και δυνατότητες ώστε τα δεδομένα που δημιουργούνται από το βοηθητικό πρόγραμμα να είναι προσβάσιμα για ανάλυση.
“Με μια πληθώρα λογισμικών που μπορεί να βρει κανείς διαθέσιμα στην αγορά και βασίζονται σε ανοιχτό κώδικα, οι καταναλωτές χρειάζονται έναν εύκολο τρόπο να κρίνουν εάν είναι ασφαλείς”, δήλωσε την Πέμπτη η Ομάδα Ασφαλείας Ανοιχτού Κώδικα της Google. “Οι κάρτες αποτελεσμάτων συμβάλλουν στη μείωση του κόπου αλλά και της προσπάθειας του χρήστη για συνεχή αξιολόγηση των αλλαγών κατά τη διάρκεια ενός πρότζεκτ.
Το Scorecards στοχεύει στην αυτοματοποίηση της ανάλυσης της στάσης ασφαλείας των έργων ανοιχτού κώδικα, καθώς και στη χρήση των μετρήσεων ασφαλείας για την προληπτική βελτίωση άλλων κρίσιμων έργων. Μέχρι σήμερα, το εργαλείο χρησιμοποιείται για να αξιολογήσει τα κριτήρια ασφαλείας για περισσότερα από 50.000 έργα ανοιχτού κώδικα.
Ορισμένες από τις νέες προσθήκες περιλαμβάνουν ελέγχους για συμμετοχή σε κακόβουλα στοιχεία ή παραβιάσεις λογαριασμών που μπορούν να εισαγάγουν πιθανά backdoors σε κώδικα, χρήση fuzzing (π.χ. OSS-Fuzz) και εργαλεία ανάλυσης στατικού κώδικα.
Η Google σημείωσε επίσης ότι ένας μεγάλος αριθμός έργων που αναλύθηκαν δεν είναι συνεχώς ασαφής και ότι ούτε ορίζουν μια πολιτική ασφάλειας για την αναφορά ευπαθειών, ενώ υπογραμμίζει επίσης την ανάγκη βελτίωσης της ασφάλειας για κάθε έργο και ευαισθητοποίησης για τους κινδύνους.