Neues Google Scorecards Tool scannt Open-Source-Software auf weitere Sicherheitsrisiken

  • Google hat eine aktualisierte Version von Scorecards auf den Markt gebracht, seinem automatisierten Sicherheitstool, das einen “Risiko-Score” für Open-Source-Initiativen erstellt, mit verbesserten Prüfungen und Möglichkeiten, die vom Tool generierten Daten für Analysen zugänglich zu machen.

    “Da heute so viel Software auf Open-Source-Projekten beruht, brauchen die Verbraucher eine einfache Möglichkeit zu beurteilen, ob ihre Abhängigkeiten sicher sind”, sagte Googles Open-Source-Sicherheitsteam am Donnerstag. “Scorecards helfen dabei, den mühsamen und manuellen Aufwand zu reduzieren, der bei der Pflege der Lieferkette eines Projekts zur ständigen Bewertung wechselnder Pakete erforderlich ist.”

    [Blocked Image: https://thehackernews.com/images/-OoudkWOwaI4/YMt1nG7ZqHI/AAAAAAAA4Qo/zhvoTujBMzIboAsA28Ekt3IPPv7HQZb4ACLcBGAsYHQ/s728-e100/free-ad-7-728.png]

    Scorecards zielt darauf ab, die Analyse des Sicherheitszustands von Open-Source-Projekten zu automatisieren und die Metriken zum Sicherheitszustand zu nutzen, um den Sicherheitszustand anderer kritischer Projekte proaktiv zu verbessern. Bis heute wurde das Tool hochskaliert, um Sicherheitskriterien für über 50.000 Open-Source-Projekte zu bewerten.

    [Blocked Image: https://thehackernews.com/images/-yX15oYpm2rI/YN7cm-R9XrI/AAAAAAAADEE/vvVAUIUD5qYKAmo6ItaewAmJXdZ4aXGSACLcBGAsYHQ/s728-e1000/google-scorecards.jpg]

    Einige der neuen Ergänzungen beinhalten Überprüfungen auf Beiträge von böswilligen Autoren oder kompromittierten Accounts, die potentielle Hintertüren in den Code einschleusen können, die Verwendung von Fuzzing (z.B. OSS-Fuzz) und statischen Code-Analyse-Tools (z.B. CodeQL), Anzeichen von CI/CD-Kompromittierung und schlechten Abhängigkeiten.

    “Pinning-Abhängigkeiten sind überall nützlich, wo wir Abhängigkeiten haben: nicht nur während der Kompilierung, sondern auch in Dockerfiles, CI/CD-Workflows usw.”, so das Team. “Scorecards prüft mit dem Frozen-Deps-Check auf diese Anti-Patterns. Diese Prüfung ist hilfreich, um bösartige Abhängigkeitsangriffe wie den jüngsten CodeCov-Angriff abzuschwächen.”

    [Blocked Image: https://thehackernews.com/images/-OSV4PB8Gs_s/YLy9M_8zkrI/AAAAAAAA4BE/n1p4_TGqv8w7u-Ha-YBjdamOZ8K2RHL_ACLcBGAsYHQ/s300-e100/privileged_300.jpg]

    Google wies auch darauf hin, dass eine große Anzahl der analysierten Projekte nicht kontinuierlich gefuzzt wird und dass sie weder eine Sicherheitsrichtlinie für die Meldung von Schwachstellen definieren noch Abhängigkeiten festhalten, und betonte gleichzeitig die Notwendigkeit, die Sicherheit dieser kritischen Projekte zu verbessern und das Bewusstsein für die weit verbreiteten Sicherheitsrisiken zu fördern.

    [Blocked Image: https://thehackernews.com/images/-ykY8JDQyEUs/YN7ZiOnvnkI/AAAAAAAADD8/bEWrVCsUSPozkRqZBPvmFU4IZ9odwGdNACLcBGAsYHQ/s728-e1000/flaws.jpg]Beispielhafte Scorecard-Ergebnisse

    Die Veröffentlichung der Scorecards v2 kommt Wochen nach der Vorstellung eines End-to-End-Frameworks namens “Supply Chain Levels for Software Artifacts” (oder SLSA), das die Integrität von Software-Artefakten sicherstellen und unautorisierte Änderungen im Verlauf der Entwicklungs- und Bereitstellungspipeline verhindern soll.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com