OpenSSF Scorecards 4

Par:
fredericmazue

mer, 02/02/2022 - 09:00

OpenSSF Scorecards est un projet pour fournir des tableaux de bord donnant aux utilisateurs de projets open source un moyen simple de juger si leurs dépendances sont sûres.

Le projet Scorecards a été lancé l'année dernière par l'Open Source Security Foundation. Deux membres de la fondation, Google et GitHub, se sont associés pour publier Scorecards 4.0, avec une nouvelle action GitHub, un contrôle de sécurité supplémentaire et des analyses à grande échelle de l'écosystème open source.

Scorecards est un outil automatisé qui effectue un certain nombre de vérifications heuristiques  associées à la sécurité des logiciels et attribue à chaque vérification une note de 0 à 10. Vous pouvez utiliser ces scores pour comprendre les domaines spécifiques à améliorer afin de renforcer la sécurité de votre projet. Vous pouvez également évaluer les risques que les dépendances introduisent et prendre des décisions éclairées sur l'acceptation de ces risques, l'évaluation de solutions alternatives ou la collaboration avec les responsables pour apporter des améliorations.

Parmi les analyses effectuées, il y a la vérification que le projet est exempt de fichiers binaires archivés, que la protection des branches est en place, que la révision du code est requise et que le projet signe les versions de manière cryptographique. 

Scorecards est un logiciel libre sous licence Apache 2.0, disponible sur GitHub.