安全记分卡和Envoy——自动化供应链分析

作者：Kim Lewandowski

安全记分卡（Security Scorecards）项目是我在谷歌工作时最喜欢的项目之一。几周前，我们在OpenSSF宣布了它。它对OSS项目通过许多检查自动生成一个“安全分数”。我之所以如此喜欢这个项目，是因为它简单易懂，完全自动化，使用客观标准，并且有能力通过提高人们的意识和激励项目来改善它们的安全状况，从而对OSS生态系统产生巨大影响。

https://github.com/ossf/scorecard/

https://openssf.org/blog/2020/11/06/security-scorecards-for-open-source-projects/

就在最初的宣布之后，我们了解到Envoy项目正在寻找一种机制来理解和执行它们所依赖的项目的运行状况策略。这使我们有机会在一个真实的项目中测试计分卡，该项目用于整个行业的关键系统中！

我们帮助Envoy的维护者Harvey Tuch为他们的用例测试和评估记分卡，这是他们针对外部依赖的新策略的一部分。

https://github.com/envoyproxy/envoy/pull/14334

直到最近，我们还没有对外部依赖的立场，也没有确定一个新的外部依赖是否可以接受的标准。

首先，为了好玩，让我们对Envoy项目本身运行记分卡，然后我们可以对Envoy的所有依赖项运行它。

对于Envoy，我们得到了这些结果：

这还不算太糟糕，这导致了签署版本的问题和Scorecards项目的另一个修复！

https://github.com/envoyproxy/envoy/issues/14076

https://github.com/ossf/scorecard/pull/94

再深入一点，下面是针对Envoy的外部依赖项的输出代码片段：

绿色=通过，红色=失败

看到这些项目的维护者之间进行的关于改进的对话真是太棒了——“嘿，我们能把fuzzing集成到这个项目中吗？”

跑得不错！！?

Envoy项目计划将OpenSSF记分卡集成到它们的依赖项元数据中，并围绕它们的依赖项执行CI策略。记分卡将减少维持Envoy供应链时的辛劳和人工努力。他们的新政策的一个关键方面是首先应用自动标准，然后在不符合标准的项目中做出必要的例外。这个深思熟虑的过程允许维护者有机会考虑相关的记分卡标准，询问关于缺失标准的问题，并评估替代方案。没有一个自动化系统是完美的，但Envoy计划与OpenSSF Scorecards合作，以提高准确性和相关性。

我期待看到更多这样的案例研究。看到一个成功故事和跨社区合作的开始真的很鼓舞人心。如果你是OSS项目的维护者，并且对试用与Envoy类似的记分卡感兴趣，那就告诉我吧！你可以在安全关键项目Slack频道找到我和其他从事类似项目的人。

https://slack.openssf.org/

现在，如果我们能弄清楚如何停止碰撞GitHub的API限制。;)

https://github.com/ossf/scorecard/issues/80

点击【阅读原文】阅读网站原文。

扫描二维码联系我们！

CNCF (Cloud Native Computing Foundation)成立于2015年12月，隶属于Linux Foundation，是非营利性组织。

CNCF（云原生计算基金会）致力于培育和维护一个厂商中立的开源生态系统，来推广云原生技术。我们通过将最前沿的模式民主化，让这些创新为大众所用。请长按以下二维码进行关注。