Scorecards proporciona una evaluación de paquetes de código abierto, que los desarrolladores pueden usar para juzgar si es seguro introducirlos en sus proyectos o sistemas.
Este nuevo sistema está destinado a ayudar a los desarrolladores a evaluar el nivel de riesgo de un paquete de software.
Imagen: iStock
Introducir código desconocido en un software puede ser arriesgado, por lo que Google está introduciendo un nuevo sistema de cuadro de mando para ayudar a los desarrolladores a evaluar el riesgo de las dependencias de código abierto antes de introducirlas en sus sistemas.
Scorecards es uno de los primeros proyectos que se han lanzado bajo el Fundación de seguridad de código abierto (OpenSSF), establecida en agosto de este año para unir a los líderes de todas las industrias para mejorar la seguridad del software de código abierto (OSS).
El sistema está destinado a ayudar a los desarrolladores a evaluar el nivel de riesgo de un paquete de software mediante la generación automática de una “puntuación de seguridad” que puede ayudar en el proceso de toma de decisiones.
Como explica Google, los cuadros de mando definen un criterio de evaluación inicial que se utiliza para generar un cuadro de mando para un proyecto de código abierto. Luego, los desarrolladores pueden decidir si el paquete tiene la confianza y el nivel de riesgo adecuados para su caso de uso y, de no ser así, someterlo a una evaluación adicional.
Las métricas de evaluación utilizadas para evaluar los paquetes incluyen una política de seguridad “bien definida”, un proceso de revisión de código y una cobertura de prueba continua con herramientas de análisis de código estático y fuzzing.
En última instancia, los cuadros de mando tienen como objetivo mejorar la visibilidad en la seguridad de código abierto, llegando en un momento en el que los ataques a las plataformas de código abierto
están experimentando un repunte.
También debería ser una bendición para las organizaciones cuando intentan escalar el análisis automatizado y las decisiones de confianza de cualquier dependencia nueva, explicó Google en su Blog de código abierto.
Por el momento, los desarrolladores y los proyectos de código abierto en general tienen recursos limitados, lo que significa que la seguridad a menudo termina como una ocurrencia tardía, dejando la puerta abierta a los riesgos de ataque.
Scorecards se encuentra en sus primeras etapas de creación y actualmente solo funciona con repositorios de software de
GitHub.
Kim Lewandowski, gerente de productos de Google, dijo el soporte se ampliaría para cubrir otros repositorios de código abierto a tiempo.
Lewandowski agregó: “Con los datos del cuadro de mando, queremos construir una cultura de seguridad a través de una visibilidad mejorada. Queremos trabajar con la comunidad y mejorar la salud de la seguridad de los proyectos críticos de los que todos dependemos”.