Google hat die Version 2.0 von Scorecards lanciert. Wie der Konzern via Security Blog
ankündigt, wurde das mit der Open Source Security Foundation erstellte Prüfwerkzeug im neuen Release mit diversen neuen Checks wie auch um neue Projekte erweitert. Scorecard wurde ursprünglich im vergangenen November vorgestellt und liefert eine Risikobewertung für Open-Source-Projekte.
Was die Neuerungen der Version 2.0 anbelangt, so soll die Zahl der unterstützten Open-Source-Projekte - bis anhin über 50'000 - erhöht werden. Hingekommen sind auch eine Reihe neuer Checks. So soll etwa Branch Protection vor bösartigen Contributors schützen, die Backdoor-Codes implementieren. Entwickler sollen damit sicherstellten können, dass Projekte vor einem Commit zwingend von einem weiteren Entwickler via Code Review gecheckt werden. Zudem wurden Checks hinzugefügt, um festzustellen, ob im CI/CD-System von Projekten Fuzzing-Tools genutzt werden.
Ein Auflistung der verfügbaren Scorecard Checks stellt
Google auf
Github zur Verfügung.
(rd)