didi
向您推荐开源项目安全工具OpenSSF Scorecard和OpenSSF Criticality Score
你好,项目管理员。 随着开源安全问题日益受到关注,我向你推荐OpenSSF Scorecard(https://github.com/ossf/scorecard#view-a-projects-score)和OpenSSF Criticality Score(https://github.com/ossf/criticality_score) 用于提高项目安全性。工具的得分可以帮助开源使用者判断他们使用的开源项目是否安全。
在使用这个项目时,我们发现它的Scorecard分数很低,这说明这个项目可能存在潜在的安全风险。以下是一些提高项目安全性的建议,这些建议可以在GitHub上轻松完成,而不会影响代码。
1.分支保护
启用分支保护规则和强制代码审查可以显著降低引入漏洞的风险。重要的分支应该受到保护,因为它不应该被错误地删除或强制推送。
您可以在Settings - Branches页面中进行检查,您可以单击Add branch ruleset或Add classic branch protection rule来保护一个或多个分支。
2.静态应用安全测试(SAST)
实施SAST工具至关重要,因为它允许我们在开发周期的早期阶段检测漏洞。
你可以在Settings - Code Security页面中检查它。您可以启用 Code scanning 选项。
3.依赖关系更新工具
使用依赖项更新工具可以确保我们的项目始终使用最新和最安全的库版本。您可以在存储库设置中启用dependabot。
你可以在Settings - Code Security页面中检查它。您可以启用Dependabot选项。
4.安全策略
强烈建议在根目录中定义一个全面的安全策略(SECURITY.md)。该政策应包括漏洞报告和漏洞发布的指南。
您可以在Security页面中执行此操作,该页面将为您提供一个模板文件,只需将一些关键信息(如电子邮件地址或漏洞提交链接)放入SECURITY.md并提交即可。
Scorecard 是由开源安全基金会(OpenSSF)赞助的开源工具,用于帮助评估开源项目的软件供应链中的安全风险。
有关这些检查的详细信息,可以参考 OpenSSF Scorecard documentation
我相信,解决这些安全问题将加强我们项目的安全态势。对于实施这些变革,您有什么想法?
