Η Google κυκλοφόρησε ένα νέο εργαλείο για προγραμματιστές που αυτοματοποιεί τη διαδικασία διαφύλαξης των projects και επαληθεύει ορισμένα χαρακτηριστικά για να διασφαλίσει ότι το project δεν έχει παραβιαστεί. Το νέο εργαλείο ασφαλείας ονομάζεται AllStar και έχει σχεδιαστεί για να κάνει δοκιμές και να καθορίζει αν έχουν αλλάξει ορισμένα κρίσιμα χαρακτηριστικά.
Το AllStar, σε συνδυασμό με ένα άλλο εργαλείο Google που ονομάζεται Scorecard, παρέχει στους συντηρητές έργων τη διαβεβαίωση ότι οι ρυθμίσεις ασφαλείας τους είναι ακριβείς, σύμφωνα με τον Jeff Mendoza, επικεφαλής μηχανικός στο AllStars της Google.
Εάν οι προγραμματιστές το επιθυμούν, μπορούν να χρησιμοποιήσουν και το λογισμικό Scorecard για να αξιολογήσουν το project τους και στη συνέχεια να δώσουν αυτόματα τις κατάλληλες πολιτικές με το AllStar.
Με βάση 18 διακριτά κριτήρια, το Scorecard αξιολογεί project, όπως το αν ενημερώνονται αυτόματα, και χρησιμοποιεί μια αυτοματοποιημένη μέθοδο ανακάλυψης ευπαθειών για τον εντοπισμό ελαττωμάτων που είναι εύκολο να εντοπιστούν.
Σύμφωνα με την ανακοίνωση του OpenSSF, η Google κυκλοφόρησε διαθέσιμο το εργαλείο στο πλαίσιο μιας προσπάθειας να υπάρχει ένα λογισμικό σαν το AllStar που μπορεί να χρησιμοποιήσει ο οποιοσδήποτε. Το λογισμικό παρακολουθεί ένα αποθετήριο στο GitHub και ελέγχει το project για να διασφαλίσει ότι δεν γίνονται ανεπιθύμητες αλλαγές. Οι ρυθμίσεις διαμόρφωσης συγκρίνονται με την πολιτική ασφαλείας του project και εάν δεν ταιριάζουν, υπάρχουν “κυρώσεις”.
Ο Mendoza αναφέρει
Με την δημοτικότητα του ανοιχτού κώδικα, οι επιτιθέμενοι βλέπουν ένα παραβιασμένο project σαν έναν τρόπο διείσδυσης τόσο σε κλειστά όσο και σε ανοιχτά συστήματα. Οι επιθέσεις γίνονται από την πλευρά της αλυσίδας εφοδιασμού: είτε με επιθέσεις στην βάση του κώδικα, είτε με injections κάπου μεταξύ του κώδικα και του τρόπου που έχει αναπτυχθεί ένα project και χρησιμοποιείται σε άλλα συστήματα.
