CodeZine(コードジン)

特集ページ一覧

オープンソースプロジェクトのリスクスコアを自動生成する「Scorecards v2」がリリース

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2021/07/05 09:00

 米Googleは、オープンソースプロジェクトのリスクスコアを自動生成するセキュリティツール「Scorecards v2」を、7月1日(現地時間)に発表した。

 「Scorecards v2」では対象範囲を拡大し、Googleの提案によるKnow、Prevent、Fixフレームワークに従い、優先順位を付けるための新たなチェックが追加されている。

 具体的には、コードをコミットする前に別の開発者によるコードレビューが必須であることを確認できるBranch-Protectionチェック、CI/CDシステムの一部としてFuzzingおよびSASTツールを使用しているかどうかを検出するためのチェック、GitHubトークンをデフォルトで読み取り専用にすることでGitHubワークフローが最小特権の原則に従っていることを確認するToken-Permissions防止チェック、プロジェクト内のバイナリの内容を簡単に確認またはチェックするバイナリアーティファクトチェック、アンチパターンをチェックするFrozen-Depsチェック、依存関係を更新するためにdependabotやrenovatebotといったツールに依存していることを確認するためのAutomated-Dependency-Updateチェック、プロジェクトを依存関係として取り込む前に脆弱性アラートシステムに登録することなく脆弱性に関する情報をチェックできる新たな脆弱性チェックが導入された。

関連リンク

  • LINEで送る
  • このエントリーをはてなブックマークに追加

あなたにオススメ

All contents copyright © 2005-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5