Évaluez les risques de sécurité dans votre projet open source avec Scorecard
Français
Les attaques de la chaîne d’approvisionnement logicielle sont de plus en plus courantes et les attaquants ciblent les vulnérabilités des dépendances au début de la chaîne d’approvisionnement pour amplifier l’impact de leurs attaques. La sécurité de la dépendance est très à l’honneur. Il est important de rester informé des projets logiciels sur lesquels vous comptez. Mais lorsque vous êtes développeur de logiciels, vous utilisez probablement beaucoup de code provenant de nombreuses sources différentes. C’est une perspective intimidante d’essayer de suivre tout le code que vous incluez dans votre propre projet. C’est là que le Tableau de bord OpenSSF entre.
Le projet Scorecard d’OpenSSF est un outil automatisé qui évalue les pratiques et les risques de sécurité d’un projet logiciel. Selon un récent rapport par Sonatype, un score Scorecard était l’un des meilleurs indicateurs pour savoir si un projet avait des vulnérabilités connues. L’adoption de Scorecard est une excellente première étape pour comprendre la fiabilité du logiciel que vous utilisez et améliorer la sécurité de votre chaîne d’approvisionnement logicielle.
Scorecard est un ensemble de benchmarks qui vous permet d’évaluer rapidement le risque associé à un projet de code basé sur les meilleures pratiques de sécurité. Le score agrégé du projet, allant de 0 à 10, donne une indication du sérieux avec lequel un projet semble prendre la sécurité. Ceci est essentiel pour identifier les points vulnérables de votre chaîne d’approvisionnement. Une dépendance qui ne répond pas à vos propres normes de sécurité internes peut être le maillon le plus faible de votre logiciel.
L’examen des scores individuels pour chacune des 19 métriques différentes de la carte de score vous indique si les mainteneurs d’un projet suivent les pratiques les plus importantes pour vous. Le projet nécessite-t-il une révision du code lorsque les contributeurs apportent des modifications ? Les succursales sont-elles protégées contre la suppression ou les modifications non autorisées ? Les dépendances sont-elles épinglées, afin que les mises à jour de version compromises ne puissent pas être poussées sans examen ? La granularité de la fiche d’évaluation dans la notation des meilleures pratiques individuelles est similaire à une bonne critique de restaurant qui répond à la question « est-ce que je veux manger ici ? » De plus, Scorecard fournit aux mainteneurs de projet une liste de tâches à effectuer pour améliorer la sécurité.
Contents
Informations sur les sources ouvertes
Vous pouvez utiliser Scorecard pour évaluer le logiciel de quelqu’un d’autre, ou vous pouvez l’utiliser pour améliorer le vôtre.
Pour voir rapidement le score d’un projet, vous pouvez visiter Informations sur les sources ouvertes. Ce site utilise les données Scorecard pour rendre compte de l’état des dépendances. Pour tout ce qui n’est pas couvert par Open Source Insights, vous pouvez utiliser l’utilitaire de ligne de commande Scorecard pour analyser n’importe quel projet sur GitHub, ou vous pouvez exécuter Scorecard localement :
$ scorecard --local . --show-details --format json | jq .
Vous pouvez exécuter Scorecard sur votre serveur Git ou sur des machines de développement locales et déclencher son exécution avec un hook Git.
Action GitHub
Si votre code est sur GitHub, vous pouvez ajouter le Action du tableau de bord GitHub à votre référentiel. L’action GitHub exécute une analyse Scorecard après toute modification du référentiel, de sorte que vous obtenez un retour immédiat si un PR entraîne une régression de la sécurité de votre projet. Les résultats fournissent des conseils de remédiation et une indication de la gravité, vous permettant d’augmenter votre score et de sécuriser votre projet.
(Naveen Srinivasan, CC BY-SA 4.0)
API de tableau de bord
Le API de tableau de bord est un outil puissant qui vous permet d’évaluer rapidement et facilement la rigueur d’un grand nombre de projets open source. Avec cette API, vous pouvez vérifier les scores de plus de 1,25 million de référentiels GitHub qui sont analysés chaque semaine. L’API fournit une mine d’informations sur les pratiques de sécurité de chaque projet, vous permettant d’identifier rapidement les vulnérabilités et de prendre des mesures pour protéger votre chaîne d’approvisionnement logicielle. Ces données peuvent également être utilisées pour automatiser le processus d’évaluation des logiciels, ce qui permet de s’assurer facilement que votre logiciel est toujours sécurisé et à jour. Que vous soyez porteur de projet ou consommateur de logiciels open source, l’API Scorecard est un outil indispensable pour assurer la sécurité et la fiabilité de votre code.
Lorsque vous avez progressé dans l’amélioration de votre score, n’oubliez pas d’ajouter un badge pour mettre en valeur votre travail acharné.
Actuellement, le tableau de bord OpenSSF est de plus en plus adopté et, en tant que l’un de ses développeurs, je suis enthousiasmé par l’avenir. Si vous l’essayez, n’hésitez pas à nous contacter via la section contact du référentiel et à partager vos commentaires.
Rejoignez la communauté Scorecard
La foule Scorecard est en croissance et de nombreux utilisateurs bénéficient déjà de l’outil. Selon Chris Aniszczyk, directeur technique de la Cloud Native Computing Foundation, « la CNCF utilise des fiches d’évaluation dans une variété de ses projets pour améliorer les pratiques de sécurité dans l’écosystème cloud natif ».
OpenSSF Scorecard est un outil automatisé et pratique qui vous permet d’évaluer la sécurité des logiciels open source et de prendre des mesures pour améliorer la sécurité de votre chaîne d’approvisionnement logicielle. C’est un outil essentiel pour s’assurer que le logiciel que vous utilisez est sûr et fiable.
