MpbIptv

Noticias atualizadas totalmente grátis sobre Tecnologia o futuro de 2022 começa aqui no Mpbiptv

Noticias 

Google anuncia Scorecard V4 em parceria com GitHub e OpenSSF

MpbIptv Tecnologia 0 comentários

O Scorecards Action está disponível no GitHub’s Marketplace e é gratuito para usar.

A Open Source Security Foundation (OpenSSF), o GitHub e o Google anunciaram na quarta-feira o lançamento do Scorecards V4, que inclui um escalonamento maior, uma nova verificação de segurança e uma nova Scorecards GitHub Action para facilitar a automação de segurança.

A OpenSSF lançou o Scorecards em novembro de 2020, criando uma ferramenta de segurança automatizada que produz uma “pontuação de risco” para projetos de código aberto e ajuda a reduzir o esforço manual e de labuta necessário para avaliar continuamente a mudança de pacotes na manutenção da cadeia de suprimentos de um projeto.

Desde o anúncio de julho de 2021 do Google e do OpenSSF sobre o Scorecards V2, o projeto Scorecards cresceu constantemente para mais de 40 colaboradores únicos e 18 verificações de segurança implementadas.

O Scorecards Action, lançado em parceria com o GitHub, automatiza o processo sobre como julgar se as mudanças em um projeto afetaram sua segurança. Anteriormente, tarefas como essa tinham que ser feitas manualmente.

O Action está disponível no GitHub’s Marketplace e é gratuito para usar. Ele pode ser instalado em qualquer repositório público seguindo essas instruções.

“Desde o anúncio em julho do Scorecards V2, o projeto Scorecards — uma ferramenta de segurança automatizada para sinalizar práticas arriscadas da cadeia de suprimentos em projetos de código aberto — cresceu constantemente para mais de 40 colaboradores únicos e 18 verificações de segurança implementadas. Hoje estamos orgulhosos de anunciar o lançamento do Scorecards V4, com maior escala, uma nova verificação de segurança e uma nova Scorecards GitHub Action para facilitar a automação de segurança”, disseram os membros da Equipe de Segurança de Código Aberto do Google Laurent Simon e Azeem Shaikh.

“O Scorecards Action é lançado em parceria com o GitHub e está disponível no GitHub’s Marketplace. O Action torna o uso do Scorecards mais fácil do que nunca: ele é executado automaticamente em alterações de repositório para alertar os desenvolvedores sobre práticas arriscadas da cadeia de suprimentos. Os mantenedores podem visualizar os alertas no painel de digitalização de códigosdo GitHub, que está disponível gratuitamente para repositórios públicos em GitHub.com e via GitHub Advanced Security para repositórios privados.”

Os dois acrescentaram que escalaram suas varreduras semanais de Scorecards para mais de um milhão de repositórios do GitHub e fizeram parceria com o site Open Source Insights para facilitar o acesso do usuário aos dados.

A Open Source Security Foundation explicou em um post no blog que, embora o mundo funcione em software de código aberto, muitos projetos de código aberto se envolvem em pelo menos um comportamento de risco — como não permitir a proteção de filiais, não fixar dependências ou não permitir atualizações automáticas de dependência.

“Scorecards torna simples avaliar um pacote antes de consumi-lo: uma varredura executada com uma única linha de código retorna pontuações individuais de 0 a 10 classificando cada prática de segurança individual (“verificações”) para o projeto e uma pontuação agregada para a segurança geral do projeto. O lançamento de hoje de um Scorecards GitHub Action torna mais fácil do que nunca para os desenvolvedores ficarem no topo de sua postura de segurança”, disse a organização.

“O novo Scorecards GitHub Action automatiza esse processo: uma vez instalado, o Action executa uma varredura de Scorecards após qualquer alteração no repositório. Os mantenedores podem visualizar alertas de segurança no painel de varredura do GitHub e remediar quaisquer práticas arriscadas da cadeia de suprimentos introduzidas pela mudança.”

Todos os alertas incluirão agora a gravidade do risco, o arquivo e a linha onde o problema ocorre e as etapas de remediação para corrigir o problema. A versão mais recente também adiciona a verificação de licença, que detecta a presença de uma licença de projeto, e a verificação Dangerous-Workflow, que detecta o uso perigoso do pull_request_target gatilho e riscos de injeções de script nos fluxos de trabalho do GitHub.

Vários projetos de código aberto já adotaram a Ação scorecards, incluindo Envoy, distroless, cosign, rekor, kaniko.

“O Scorecards nos fornece a capacidade de testar rapidamente novas dependências no projeto Envoy”, disse Harvey Tuch, do Enviado.

“Encontramos este um passo valioso na verificação de novas dependências para atributos conhecidos e integramos scorecards em nossos critérios de aceitação de dependência. As propriedades de verificação da máquina são uma parte essencial de um processo de segurança sólida.”

Você pode gostar também

Projeto de lei de criptomoedas 2021: Imposto sobre negociação, investimento em cartões, sem proibição total; tudo o que você precisa saber

MpbIptv Tecnologia 0

A tecnologia 5G é perigosa?

MpbIptv Tecnologia 0

Intel planeja maior fábrica de chips do mundo

MpbIptv Tecnologia 0

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *