Google lanza un nuevo programa de software de seguridad de código abierto: Scorecards

Cada vez con más frecuencia ocurre la siguiente escena. Un desarrollador de software necesita sacar adelante un proyecto y para ello necesita poder apoyarse en una serie de librerías para poder agilizar su desarrollo. Sin embargo, ¿son seguras estas fuentes? Puede ocurrir que ese repositorio en Git de «código abierto» oculta en realidad un historial de incidentes de seguridad cuestionable. Es aquí donde Storecard 2.0 entra en acción.

 

Según el informe de Synopsys Cybersecurity Research Center (CyRC) 2021 «Open Source Security and Risk Analysis» (OSSRA), el 95% de todos los programas comerciales contienen software de código abierto. Según el recuento de CyRC, la gran mayoría de ese código contiene código desactualizado o inseguro. Pero, ¿cómo puede saber qué bibliotecas y otros componentes son seguros sin hacer una inmersión profunda en el código? Google y la Open Source Security Foundation (OSSF) tienen una respuesta rápida y sencilla: Storecard

Storecard se basan en un conjunto de comprobaciones automatizadas para proporcionar una revisión rápida de muchos proyectos de software de código abierto. En otras palabras, el proyecto Scorecards es una herramienta de seguridad automatizada que genera una «puntuación de riesgo» para los programas de código abierto.

Para los desarrolladores, Scorecards ayuda a reducir el trabajo y el esfuerzo manual necesarios para evaluar continuamente los cambios de paquetes cuando se mantiene la cadena de suministro de un proyecto. Los consumidores pueden acceder automáticamente a los riesgos para tomar decisiones informadas sobre la aceptación del programa, buscar una solución alternativa o trabajar con los encargados del mantenimiento para realizar mejoras.

Scorecards  nos ayuda a:

  • Identificación de riesgos
  • Detección de colaboradores malintencionados
  • Código vulnerable
  • Dependencias incorrectas

Más información: https://github.com/ossf/scorecard

Comparte esta entrada: