Разработчики: | |
Дата премьеры системы: | июнь 2021 г |
Отрасли: | Информационные технологии |
Технологии: | Средства разработки приложений |
2021: Анонс бесплатного инструмента для проверки открытого ПО на дыры и устаревший код
В начале июля 2021 года Google выпустила бесплатный инструмент Scorecards для проверки открытого ПО на дыры и устаревший код. Он проверяет код на основе оценочных листов библиотеки OpenSSF и выдает «оценку риска» для программ с открытым исходным кодом.
Лишь некоторые организации включают системы для проверки открытого исходного кода на наличие проблем безопасности, но даже при наличии достаточных ресурсов это превращается в утомительный и подверженный ошибкам процесс. Проект Scorecards v2, включающий новые проверки безопасности и упрощение доступа к данным для анализа, должен улучшить проверку безопасности. Для разработчиков такая система неоценима: они смогут автоматически оценивать риски, чтобы принимать обоснованные решения о включении кода, поиске альтернативных решений или внесении улучшений.
В новую версию добавлено несколько новых проверок и выявление злонамеренных участников, которые могут вводить в код потенциальные лазейки. С помощью новой проверки Branch-Protection разработчики могут убедиться, что проект был проверен другим разработчиком перед включением в библиотеку кода. Пока эту проверку может выполнить только администратор репозитория из-за ограничений API GitHub.
Но даже если разработчики и партнеры приложили все усилия для организации безопасного пространства, плохой код может попасть в базу и остаться незамеченным. Google отмечает необходимость непрерывного фаззинга и статического тестирования кода, помогающего выявлять ошибки на ранних этапах жизненного цикла разработки. Проект Scorecards проверяет, использовались ли при включении кода в библиотеку инструменты фаззинга и SAST. Система Scorecard также проверяет, что рабочие процессы GitHub следуют принципу минимальных привилегий, делая токены GitHub доступными только для чтения по умолчанию. Это не позволяет злоумышленнику получить доступ к привилегированному токену GitHub, а вместе с ним и возможность отправить вредоносный код в репозиторий без проверки.[1]
Примечания
Подрядчики-лидеры по количеству проектов
Солар (ранее Ростелеком-Солар) (46)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15)
Форсайт (11)
Бипиум (Bpium) (10)
Axiom JDK (БеллСофт) ранее Bellsoft (10)
Другие (393)
Солар (ранее Ростелеком-Солар) (8)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (4)
IFellow (АйФэлл) (2)
ЛАНИТ - Би Пи Эм (Lanit BPM) (2)
Консом групп, Konsom Group (КонсОМ СКС) (2)
Другие (30)
Солар (ранее Ростелеком-Солар) (10)
Форсайт (3)
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
Cloud.ru (Облачные технологии) ранее SberCloud (2)
КРИТ (KRIT) (2)
Другие (13)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Солар (ранее Ростелеком-Солар) (2, 48)
Microsoft (41, 47)
Oracle (49, 26)
Hyperledger (Open Ledger Project) (1, 23)
IBM (33, 18)
Другие (602, 308)
Солар (ранее Ростелеком-Солар) (1, 8)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (1, 4)
Microsoft (4, 3)
Oracle (2, 3)
SAP SE (2, 2)
Другие (16, 19)
Солар (ранее Ростелеком-Солар) (1, 11)
Форсайт (1, 3)
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1, 3)
Сбербанк (1, 2)
Cloud.ru (Облачные технологии) ранее SberCloud (1, 2)
Другие (9, 9)
Солар (ранее Ростелеком-Солар) (1, 6)
Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6)
МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4)
Мобильные ТелеСистемы (МТС) (1, 4)
Форсайт (1, 3)
Другие (14, 24)
Unlimited Production (Анлимитед Продакшен, eXpress) (1, 4)
Мобильные ТелеСистемы (МТС) (2, 3)
Солар (ранее Ростелеком-Солар) (1, 3)
МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 2)
Оператор Газпром ИД (ГИД) (1, 1)
Другие (14, 14)
Распределение систем по количеству проектов, не включая партнерские решения
Solar appScreener (ранее Solar inCode) - 48
Hyperledger Fabric - 23
Windows Azure - 20
FIS Platform - 15
EXpress Защищенный корпоративный мессенджер - 12
Другие 328
Solar appScreener (ранее Solar inCode) - 8
FIS Platform - 4
Java - 2
Турбо X - 2
Парадокс: MES Builder - 2
Другие 22
Solar appScreener (ранее Solar inCode) - 11
Форсайт. Мобильная платформа (ранее HyperHive) - 3
BSS Digital2Go - 3
Cloud ML Space - 2
Avaya Breeze (Avaya Engagement Development Platform) - 1
Другие 8