谷歌推出全新开源安全软件项目Scorecards 2.0

7月2日消息，据外媒报道，谷歌宣布将其开源安全软件项目Scorecards升级至2.0版本。

中国软件网看到，Scorecards是一种自动化的安全工具，可为开源程序生成风险评分。这是至关重要的，因为只有某些组织有系统和流程来检查新的开源应用是否存在安全问题。

然而在此之前，即使在谷歌许多此类项目和开发人员也受到资源限制，结果使得安全处于低优先级。这导致项目容易被漏洞利用。Scorecards则希望使得安全检查更容易。对于开发人员来说，Scorecards有助于项目安全维护时减少不必要的精力和时间。

为了使得安全检查更容易，Scorecards也升级到2.0版本。新升级后的Scorecards提供更多安全检查功能，并增加了可以评分的项目数量，并使这些安全数据易于分析。

据悉，Scorecards也是OpenSSF （开源安全基金会）自2020年8月成立以来发布的首批项目之一，其定义了初始评估标准，以一种完全自动化的方式为开源项目生成一个评分卡。

Scorecards的每项检查都可以被控制是否启用，部分评估指标包括定义良好的安全策略、代码审查流程以及使用模糊测试和静态代码分析工具的持续测试覆盖率。每项安全检查都会返回一个布尔值以及信任度分数。随着 Scorecards 被广泛使用，谷歌会通过 OpenSSF 的社区贡献来改进这些指标。

截至目前，Scorecards已评估了超过5万个开源项目的安全性。

版权声明：凡本网注明”来源：中国软件网”的所有作品，版权均属于中国软件网或昆仑海比（北京）信息技术有限公司，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。任何行业、传播媒体转载、摘编中国软件网刊登、发布的产品信息及新闻文章，必须按有关规定向本网站载明的相应著作权人支付报酬并在其网站上注明真实作者和真实出处，且转载、摘编不得超过本网站刊登、转载该信息的范围；未经本网站的明确书面许可，任何人不得复制或在非本网站所属的服务器上做镜像。本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，昆仑海比（北京）信息技术有限公司将追究其相关法律责任。