Googleも参加しているオープンソースセキュリティ財団(OpenSSF)が2020年11月6日に、オープンソースプロジェクトの安全性を自動的に評価できる「Security Scorecards」を発表しました。
Security Scorecardsは、オープンソースプロジェクトを利用するのに伴うセキュリティの問題についてより良い判断を行い、プロジェクトの健全性をしっかり見直せるようにすることを主眼として開発されたもの。Security Scorecardsを使用すると、オープンソースプロジェクトの「セキュリティスコア」が自動生成されるため、新たに依存関係を導入する際のリスクやセキュリティに関する評価が従来より簡単になるとのことです。 プロジェクトにSecurity Scorecardsを使用すると、「プロジェクトにセキュリティポリシーが含まれているか」「少なくとも2つの異なる組織からの貢献者がいるか」「依存関係の宣言などが行われているか」をはじめとする12項目について自動的にチェックが行われ、「合格/不合格」の判定と「0〜10の信頼スコア」での採点を行ってくれます。されており、OpenSSFは「Security Scorecardsのような取り組みは、悪意ある依存関係が本番システムに潜り込むリスクを軽減するのに役立ちます」と述べています。 Security Scorecardsは目下のところ、GitHubのリポジトリでしか動作しませんが、OpenSSFでは今後他のソースコードリポジトリでもSecurity Scorecardsが使えるよう開発を進めていく方針としています。.
Security Scorecardsは、オープンソースプロジェクトを利用するのに伴うセキュリティの問題についてより良い判断を行い、プロジェクトの健全性をしっかり見直せるようにすることを主眼として開発されたもの。Security Scorecardsを使用すると、オープンソースプロジェクトの「セキュリティスコア」が自動生成されるため、新たに依存関係を導入する際のリスクやセキュリティに関する評価が従来より簡単になるとのことです。 プロジェクトにSecurity Scorecardsを使用すると、「プロジェクトにセキュリティポリシーが含まれているか」「少なくとも2つの異なる組織からの貢献者がいるか」「依存関係の宣言などが行われているか」をはじめとする12項目について自動的にチェックが行われ、「合格/不合格」の判定と「0〜10の信頼スコア」での採点を行ってくれます。されており、OpenSSFは「Security Scorecardsのような取り組みは、悪意ある依存関係が本番システムに潜り込むリスクを軽減するのに役立ちます」と述べています。 Security Scorecardsは目下のところ、GitHubのリポジトリでしか動作しませんが、OpenSSFでは今後他のソースコードリポジトリでもSecurity Scorecardsが使えるよう開発を進めていく方針としています。