谷歌为开发者发布新的安全工具

根据Dark Reading 的说法，面对越来越多的针对开源软件的攻击，大公司正在介入，以帮助开发人员提供免费服务和工具来改善网络安全。

谷歌为开发人员发布了一个新工具，可以自动执行保护项目的过程并验证属性，以确保项目的安全性没有受到损害。新的安全工具称为AllStars，旨在运行测试以确定关键方面是否已被更改。

根据谷歌 AllStars 工程负责人 Jeff Mendoza 的说法，AllStars 与另一个名为 Scorecard 的谷歌工具相结合，为项目维护人员提供了他们的安全设置仍然准确的保证。如果开发人员愿意，他们可以使用记分卡来评估他们的立场，然后通过 AllStars 自动执行适当的政策。

计分卡基于 18 个不同的标准来评估项目，例如它们是否自动更新依赖项、是否积极维护，并采用自动漏洞发现方法来识别易于发现的缺陷。

它的表现如何?

根据 OpenSSF 的公告，谷歌在周一提供了该工具，作为维护一个任何人都可以使用的 AllStar 实例的努力的一部分。该软件会跟踪 GitHub 存储库并检查项目以确保没有进行不需要的更改。配置设置与项目的安全策略进行比较，如果它们不匹配，则可以采取强制措施。

Mendoza 说：“随着开源的巨大普及，攻击者将受感染的项目视为渗透封闭和开放系统的一种方式，”补充说，“由于开源很少是实时运行的系统，因此攻击发生在供应链方面：要么妥协代码库，要么在代码与项目在其他系统上构建和使用的地方之间的某处注入妥协”。