Scorecards 2.0: Sicherheitsrisiken in Open-Source-Software aufdecken

Das automatisierte Security-Tool Scorecards legt die Karten auf den Tisch – wie sicher ist Open-Source-Software?

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 7 Beiträge

(Bild: tee262 / Shutterstock.com)

Von
  • Maika Möbus

Der Google Security Blog hat Version 2.0 von Scorecards verkündet. Die neue Version des automatisierten Security-Tools wurde in Zusammenarbeit mit der Open Source Security Foundation (OpenSSF) entwickelt, zu deren Gründungsmitgliedern neben Microsoft, IBM und weiteren Unternehmen auch Google zählt.

Scorecards 2.0 soll laut Google, das erst kürzlich ein Security-Framework gegen Supply-Chain-Angriffe vorgeschlagen hat, dabei helfen, Sicherheitsrisiken in Open-Source-Projekten zu erkennen, indem es automatisch einen „Risk Score“ erstellt. Das soll Entwicklern die Arbeit erleichtern, indem der Aufwand verringert wird, manuelle Sicherheitsprüfungen für veränderte Packages innerhalb einer Supply Chain durchzuführen.

Seit dem ersten Release der Scorecards im Herbst hat sich einiges getan, was das Aufspüren von Risiken betrifft. Neben einer erweiterten Abdeckung sind zusätzliche Checks im Rahmen des im Februar vorgestellten Google-Prinzips „Know, Prevent, Fix“ hinzugekommen, darunter der neue Check Branch-Protection. Mit dessen Hilfe können Entwickler verifizieren, dass Code Reviews durch einen anderen Entwickler vor einem Commit verpflichtend sind.

Da risikobehafteter Code unbemerkt Einzug finden kann, hat Google zudem Checks eingefügt, ob im CI/CD-System Fuzzing- und statische Codeanalysetools im Einsatz sind. Weitere neue Checks beziehen sich unter anderem auf das Verwenden von GitHub Actions und das Vorhandensein von Binary-Artefakten.

Bisher hat das Scorecards-Tool gut 50.000 Open-Source-Projekte analysiert. Die Bewertung kritischer Open-Source-Projekte durch Scorecards wird periodisch aktualisiert und in einem wöchentlich aktualisierten, öffentlichen BigQuery-Datensatz angezeigt. Der Datensatz ist über das Kommandozeilentool bg abrufbar. Für Kubernetes lassen sich die Scorecards-Daten wie folgt abrufen:

$ bq query --nouse_legacy_sql 'SELECT Repo, Date, Checks FROM 
openssf.scorecardcron.scorecard_latest WHERE 
Repo="github.com/kubernetes/kubernetes"'

Interessierte können die URL durch die ihres eigenen Projekts ersetzen. Alternativ können sie eine Übersicht aller analysierten Projekte abrufen, wie das Scorecards Repository auf GitHub beschreibt.

Derzeit tragen 23 Entwicklerinnen und Entwickler zu Scorecards bei, und weitere Anregungen sind erwünscht. Für die Zukunft sind bereits weitere neue Features geplant, darunter Scorecards Badges, die eine Scorecards-Compliance anzeigen sollen, sowie die Integration mit CI/CD und GitHub-Code-Scanning-Resultaten.

Alle weiteren Infos zum Scorecards-Projekt sind auf GitHub zu finden, wo es unter Apache-2.0-Lizenz zur Verfügung steht.

(mai)