Theo Dark Reading, trước tình trạng ngày càng nhiều các cuộc tấn công nhằm vào phần mềm nguồn mở, các tập đoàn lớn đang nỗ lực để giúp các nhà phát triển có các dịch vụ và công cụ miễn phí cải thiện an ninh mạng, theo Dark Reading .
Google đã phát hành một công cụ mới dành cho các nhà phát triển để tự động hóa quy trình bảo vệ dự án và xác minh các thuộc tính để đảm bảo rằng tính bảo mật của dự án không bị xâm phạm. Công cụ bảo mật mới được gọi là AllStars và được thiết kế để chạy các bài kiểm tra nhằm xác định xem các khía cạnh quan trọng có bị thay đổi hay không.
Theo Jeff Mendoza, trưởng nhóm kỹ thuật của AllStars tại Google, AllStars kết hợp với một công cụ khác của Google có tên là Scorecard, cung cấp cho những người duy trì dự án sự đảm bảo rằng cài đặt bảo mật của họ vẫn chính xác. Nếu các nhà phát triển muốn, họ có thể sử dụng Thẻ điểm để đánh giá vị trí của họ và sau đó tự động thực thi các chính sách thích hợp với AllStars.
Trên cơ sở 18 tiêu chí riêng biệt, Thẻ điểm đánh giá các dự án, chẳng hạn như liệu chúng có tự động cập nhật các phần phụ thuộc hay không, có được bảo trì tích cực hay không và sử dụng phương pháp phát hiện lỗ hổng tự động để xác định các lỗ hổng dễ tìm thấy.
Nó hoạt động như thế nào?
Theo thông báo của OpenSSF , Google đã cung cấp công cụ này vào thứ Hai như một phần của nỗ lực duy trì phiên bản AllStar mà bất kỳ ai cũng có thể sử dụng. Phần mềm theo dõi kho lưu trữ GitHub và kiểm tra dự án để đảm bảo rằng không có thay đổi không mong muốn nào được thực hiện. Cài đặt cấu hình được so sánh với chính sách bảo mật của dự án và nếu chúng không khớp, có thể thực hiện hành động cưỡng chế.
Mendoza nói, “Với sự phổ biến rộng rãi của mã nguồn mở, những kẻ tấn công coi một dự án bị xâm nhập là một cách để xâm nhập vào cả hệ thống đóng và mở”, thêm, “Vì mã nguồn mở hiếm khi là một hệ thống chạy trực tiếp, các cuộc tấn công xảy ra ở phía chuỗi cung ứng : hoặc xâm phạm cơ sở mã hoặc chèn một thỏa hiệp vào đâu đó giữa mã và nơi dự án được xây dựng và sử dụng trên các hệ thống khác “.
Nguồn: https://news.softpedia.com/
