Google日前發布了最新的開源安全工具Scorecard v2版，以實現讓開源安全檢查變得更容易。此版本包括了新的安全檢查、擴大被評分的項目數量等功能，這使得數據更易于被訪問和分析。

　　對于開發人員而言，Scordcard有助于減少在維護項目供應鏈時不斷評估持續變化的數據包所需的工作量。用戶可以自動訪問風險以做出有關接受程序的明智決定，尋找替代解決方案或與維護人員合作進行改進。

　　新功能如下：

　　識別風險：自去年以來，記分卡的覆蓋范圍有所擴大。該項目在Google的Know、Prevent、Fix框架之后添加了幾項新檢查。

　　發現惡意攻擊者：具有惡意意圖或被盜帳戶的攻擊者可能會在代碼中引入潛在的后門。代碼審查有助于減輕此類攻擊。使用新的分支保護檢查，開發人員可以在提交代碼之前驗證該項目是否強制執行其他開發人員的代碼審查。目前，由于GitHub API限制，此檢查只能由存儲庫管理員運行。對于第三方存儲庫，請改用信息較少的代碼審查檢查。

　　易受攻擊的代碼：盡管開發人員和同行評審已經做了最大努力，惡意代碼仍然可以進入代碼庫且不被發現，這也是啟用持續模糊測試和靜態代碼測試在開發生命周期的早期捕獲錯誤的重要原因。啟用上述兩項測試后，就可以檢查攻擊者是否使用了模糊測試和SAST工具持續集成、部署了（CI/CD）管道。

　　開發系統入侵：GitHub項目使用的常見CI/CD解決方案是GitHub Actions。這一方案的缺點在于GitHub Actions可能會處理不受信任的用戶輸入，即攻擊者可以制作惡意pull request請求以獲得對特權GitHub令牌的訪問權限，并借此將惡意代碼推送到存儲庫而無需審查。為了降低這種風險，記分卡的令牌權限預防檢查現在通過將GitHub令牌設置為默認只讀來驗證GitHub工作流程是否遵循最小權限原則。

　　不良依賴：顯而易見，程序的安全性取決于其最弱的依賴項。但是了解依賴項的第一步就是聲明它們，并且讓用戶的依賴項也聲明它們。有了這些來源信息，用戶就可以評估并降低程序的風險。