如今，安全漏洞日益困擾著大型開源項目。根據 RiskSense 的統計數據，與 2018 年相比，2019 年開源軟件漏洞的數量增加了一倍多。考慮到近 91% 的商業應用程序包含過時或廢棄的開源組件，因此安全漏洞的影響是深遠的。

作為開源軟件社區的一員，Google 非常清楚軟件供應鏈攻擊對開源項目構成的威脅日益嚴重，而 Allstar 是其提高安全性的最新工具。

Allstar 是一款為 GitHub 項目提供自動持續執行安全最佳實踐的應用程序。這款新應用的工作原理是讓 GitHub 代碼庫中的項目所有者能夠檢查安全策略的遵守情況，設置所需的執行操作，然后在項目庫中的設置或文件發生變更等情況時持續執行這些操作。

Allstar 是另一個同樣由 Google 維護的開源工具 Scorecards 的配套產品，Scorecards 可以自動評估任何 GitHub 倉庫及其依賴的風險。Scorecards 會檢查諸如項目是否使用分支保護、加密簽名發布工件或需要代碼審查等啟發式方法，并為每個類別生成一個評估后的分數，幫助用戶了解哪些方面可能需要改進。

Allstar 則可以在此基礎上進行接管，給項目維護者提供一個更簡單的方法來實現特定安全檢查的自動執行。因此，如果任何版本庫沒有通過安全檢查，Allstar 就會自動介入，并進行它認為必要的修復，以解決這個問題。通過這個程序可以讓開發人員擺脫每日重復的檢查與修復工作。

Allstar 初始安全策略檢查/實施包括：

• 分支保護(針對未經批準的拉取請求、強制推送等);
• SECURITY.md 文件的存在，其中包含用于負責任的漏洞披露的定義策略;
• 對外部合作者執行特定要求(例如，具有倉庫管理員權限的用戶必須是組織內成員);
• 如果在存儲庫中發現二進制工件，則進行檢測并發出警報;

目前 Allstar 能夠執行的安全策略檢查數量還比較有限，Google 計劃在未來幾個月內逐步推出更多的策略 —— 包括凍結依賴和自動更新依賴。

Google 高級項目經理 Mike Maraya 表示：“簡而言之，Scorecards 幫助開發者衡量項目目前的安全狀況與想要達到的最終目標，而 Allstar 則幫助你達成目標。Allstar 仍處于開發的早期階段，因此我們歡迎大家積極使用并在社區提供反饋。”

感興趣的開發者可以訪問 Allstar 的 GitHub 頁面了解更多詳情。

本文轉自OSCHINA

本文標題：Google 開源 Allstar ，為 GitHub 項目持續實施最佳安全實踐

本文地址：https://www.oschina.net/news/155179/google-open-source-allstar