Снижение рисков безопасности в open-source проектах с GitHub Actions и OpenSSF Scorecards V4

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Здесь и далее мой вольный перевод статьи из GitHub Blog: Reducing security risk in open source software.

GitHub стремится обеспечить безопасность для open-source и поэтому мы (GitHub) продолжаем сотрудничать с коллегами из Open Source Security Foundation (OpenSSF). Вышел новый релиз V4 OpenSSF's - это Scorecard проект в сотрудничестве с Google.

Scorecard - это автоматический инструмент безопасности, который находит уязвимости в open-source проектах. Мы добавили GitHub Action и starter workflow в пользовательский интерфейс и Marketplace чтобы помочь пользователям следовать лучшим практикам по безопасности.

Единожды настроив ее, Scorecard Action будет запускаться автоматически при каждом изменении в репозитории и будет оповещать разработчиков в проблемах в безопасности используя внутренний сканер кода. Scorecard Action производит набор проверок, включающий даже проверку, что включен ли статический анализ кода.

Результаты автоматически отправляются в API предупреждений о сканировании кода GitHub и отображаются на вкладке безопасность проекта. Это поможет open-source проектам понять, внедряют ли они лучшие практики проекта Scorecards, и поможет убедить своих пользователей в мерах предосторожности, которые они принимают для обеспечения безопасности.

Чтобы попробовать, зайдите на GitHub и создайте личный токен доступа, если у вас его еще нет. Затем перейдите к своему проекту, перейдите на вкладку Безопасность и настройте сканирование кода.

Затем выберите опцию OSSF Scorecard и нажмите Set up this workflow.

Рабочий процесс предварительно настроен для запуска при каждом обновлении кода и будет загружать результаты в API сканирования кода для исправления. Вам нужно будет скопировать свой PAT в workflow. Проверьте в комментариях подходящее место.

Примечание. Если в вашем проекте уже настроено сканирование кода, вы можете увидеть другой пользовательский интерфейс на странице предупреждений о сканировании кода. Просто нажмите Добавить дополнительные инструменты сканирования, как показано ниже.

И точно так же результаты начнут поступать на вкладку безопасности для просмотра.

Пока настраиваете Scorecard, можно также настроить CodeQL или один из наших других интегрированных сторонних инструментов статического анализа, что является отличным первым шагом на пути к обеспечению безопасности проекта.

CodeQL, API для сканирования кода и 1000 минут GitHubAction бесплатно включены для публичных репозиториев.

Эти функции также доступны предприятиям через GitHub Enterprise и GitHub Advanced Security. Чтобы узнать больше о платформе GitHub и безопасности приложений, пожалуйста, смотрите https://github.com/features/security.

[конец перевода]

Всем, кто дочитал, думаю стоит включить это и у себя на проектах, что есть на гитхабе.

Всем добра!

Источник: https://habr.com/ru/post/647569/


Интересные статьи

Интересные статьи

Шляпы для собак становятся трендом и выгуливать собак без шляп становится «дурным тоном». А наш бизнес продолжает расти. Растет и количество сервисов, и, соответственно, размеры ЦОДа. Как ни странно, ...
Сегодня я расскажу вам как можно опубликовать своё Spring Boot приложение в GitHub Packages с помощью GitHub Actions. Вот так. В общем-то всё. Вот. Спасибо за внимание.
Эта статья – попытка сформулировать особенности работы с французами и шведами, которые я открывал для себя на протяжении 10 лет совместной работы. Я не претендую на их универсальность, а всего лишь де...
Здравствуйте, меня зовут Дмитрий Карловский и я… практикую терморектальную ароматерапию. Понимаю, что каждый любит своё болото, и будет защищать его до последней капли жижи. Тем не менее,...
Почему? Несколько лет назад я заинтересовался получением пассивного дохода и решил попробовать инвестировать с помощью p2b-площадок. Через некоторое время стало заметно, что денежные средства ок...