Google Scorecards

Продукт
Разработчики: Google
Дата премьеры системы: июнь 2021 г
Отрасли: Информационные технологии
Технологии: Средства разработки приложений

2021: Анонс бесплатного инструмента для проверки открытого ПО на дыры и устаревший код

В начале июля 2021 года Google выпустила бесплатный инструмент Scorecards для проверки открытого ПО на дыры и устаревший код. Он проверяет код на основе оценочных листов библиотеки OpenSSF и выдает «оценку риска» для программ с открытым исходным кодом.

Лишь некоторые организации включают системы для проверки открытого исходного кода на наличие проблем безопасности, но даже при наличии достаточных ресурсов это превращается в утомительный и подверженный ошибкам процесс. Проект Scorecards v2, включающий новые проверки безопасности и упрощение доступа к данным для анализа, должен улучшить проверку безопасности. Для разработчиков такая система неоценима: они смогут автоматически оценивать риски, чтобы принимать обоснованные решения о включении кода, поиске альтернативных решений или внесении улучшений.

Google представила бесплатный инструмент Scorecards для проверки открытого ПО на дыры и устаревший код

В новую версию добавлено несколько новых проверок и выявление злонамеренных участников, которые могут вводить в код потенциальные лазейки. С помощью новой проверки Branch-Protection разработчики могут убедиться, что проект был проверен другим разработчиком перед включением в библиотеку кода. Пока эту проверку может выполнить только администратор репозитория из-за ограничений API GitHub.

Но даже если разработчики и партнеры приложили все усилия для организации безопасного пространства, плохой код может попасть в базу и остаться незамеченным. Google отмечает необходимость непрерывного фаззинга и статического тестирования кода, помогающего выявлять ошибки на ранних этапах жизненного цикла разработки. Проект Scorecards проверяет, использовались ли при включении кода в библиотеку инструменты фаззинга и SAST. Система Scorecard также проверяет, что рабочие процессы GitHub следуют принципу минимальных привилегий, делая токены GitHub доступными только для чтения по умолчанию. Это не позволяет злоумышленнику получить доступ к привилегированному токену GitHub, а вместе с ним и возможность отправить вредоносный код в репозиторий без проверки.[1]

Примечания



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Солар (ранее Ростелеком-Солар) (46)
  Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15)
  Форсайт (11)
  Axiom JDK (БеллСофт) ранее Bellsoft (10)
  Бипиум (Bpium) (10)
  Другие (388)

  Солар (ранее Ростелеком-Солар) (8)
  Финансовые Информационные Системы (ФИС, FIS, Финсофт) (4)
  Консом групп, Konsom Group (КонсОМ СКС) (2)
  ЛАНИТ - Би Пи Эм (Lanit BPM) (2)
  IFellow (АйФэлл) (2)
  Другие (30)

  Солар (ранее Ростелеком-Солар) (10)
  Форсайт (3)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
  КРИТ (KRIT) (2)
  Cloud.ru (Облачные технологии) ранее SberCloud (2)
  Другие (13)

  Солар (ранее Ростелеком-Солар) (6)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (4)
  Unlimited Production (Анлимитед Продакшен, eXpress) (4)
  РЖД-Технологии (3)
  Robin (Робин) (3)
  Другие (23)

  Солар (ранее Ростелеком-Солар) (3)
  Unlimited Production (Анлимитед Продакшен, eXpress) (3)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (2)
  Нота (Холдинг Т1) (1)
  Оператор Газпром ИД (ГИД) (1)
  Другие (8)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Солар (ранее Ростелеком-Солар) (2, 48)
  Microsoft (41, 47)
  Oracle (49, 26)
  Hyperledger (Open Ledger Project) (1, 23)
  IBM (33, 18)
  Другие (592, 303)

  Солар (ранее Ростелеком-Солар) (1, 8)
  Финансовые Информационные Системы (ФИС, FIS, Финсофт) (1, 4)
  Microsoft (4, 3)
  Oracle (2, 3)
  SAP SE (2, 2)
  Другие (16, 19)

  Солар (ранее Ростелеком-Солар) (1, 11)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1, 3)
  Форсайт (1, 3)
  Сбербанк (1, 2)
  Cloud.ru (Облачные технологии) ранее SberCloud (1, 2)
  Другие (9, 9)

  Солар (ранее Ростелеком-Солар) (1, 6)
  Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6)
  Мобильные ТелеСистемы (МТС) (1, 4)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4)
  Форсайт (1, 3)
  Другие (14, 24)

  Мобильные ТелеСистемы (МТС) (2, 3)
  Солар (ранее Ростелеком-Солар) (1, 3)
  Unlimited Production (Анлимитед Продакшен, eXpress) (1, 3)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 2)
  Т1 Иннотех (ГК Иннотех) (1, 1)
  Другие (11, 11)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Solar appScreener (ранее Solar inCode) - 48
  Hyperledger Fabric - 23
  Windows Azure - 20
  FIS Platform - 15
  Форсайт. Мобильная платформа (ранее HyperHive) - 12
  Другие 323

  Solar appScreener (ранее Solar inCode) - 8
  FIS Platform - 4
  Парадокс: MES Builder - 2
  Java - 2
  Siemens Xcelerator - 2
  Другие 22

  Solar appScreener (ранее Solar inCode) - 11
  BSS Digital2Go - 3
  Форсайт. Мобильная платформа (ранее HyperHive) - 3
  Cloud ML Space - 2
  Tarantool Data Grid - 1
  Другие 8

  EXpress Защищенный корпоративный мессенджер - 6
  Solar appScreener (ранее Solar inCode) - 6
  МТС Exolve - 4
  Форсайт. Мобильная платформа (ранее HyperHive) - 3
  РЖД и Робин: Облачная фабрика программных роботов - 3
  Другие 14

  Solar appScreener (ранее Solar inCode) - 3
  EXpress Защищенный корпоративный мессенджер - 3
  МТС Exolve - 2
  Т1: Сфера Платформа производства ПО - 1
  Axiom JDK (ранее Liberica JDK до 2022) - 1
  Другие 8