谷歌和 OpenSSF 发布了一个名为 Allstar 的新应用程序,它为GitHub项目提供自动持续执行安全最佳实践。作为开源软件(OSS) 社区的一员,这家搜索巨头非常清楚软件供应链攻击对开源项目构成的日益严重的威胁,Allstar 是其提高其安全性的最新努力。
借助 Allstar,GitHub 项目所有者可以检查安全策略的遵守情况,设置所需的强制措施,并根据 OpenSFF 的新博客文章在组织或项目存储库中触发 ba 设置或文件更改时持续实施这些强制措施。
通过使用这个新的 GitHub 应用程序,开源社区可以主动降低安全风险,同时尽可能减少工作流程的摩擦。
Allstar 是 Google 和 OpenSFF 的自动化工具Scorecards的伴侣,用于评估存储库及其依赖项的风险。
虽然安全记分卡会检查许多重要的启发式方法以提供分数,以帮助用户了解需要改进的特定领域,以加强其项目的安全状况,但 Allstar 允许维护人员选择自动执行特定检查。但是,如果存储库未通过启用的检查,Allstar 会进行干预以进行必要的更改以修复问题。
Allstar 本身通过根据定义的安全策略持续检查预期的 GitHub API 状态和存储库文件内容(例如存储库设置、分支设置和工作流设置)并在预期状态与策略不匹配时应用强制措施(提交问题、更改设置)来工作。
尽管 OpenSFF 运行自己的 Allstar 实例,任何人都可以安装和使用,但出于安全或自定义原因,GitHub 项目所有者也可以创建和运行自己的实例。
要开始使用 Allstar,GitHub 项目所有者可以在此处安装 Allstar 应用程序并使用这些快速入门说明进行配置。
在韩国生活和工作了七年之后,Anthony 现在居住在德克萨斯州的休斯顿,在那里他为 ITProPortal 和 TechRadar 撰写了有关各种技术主题的文章。从他记事起,他就一直是一名技术爱好者,并花了无数个小时研究和修补 PC、手机和游戏机。