谷歌开源 Allstar 项目,通过不断监控和执行一系列安全策略来保护 GitHub 项目的安全,从而阻止基本的安全配置错误问题。
Allstar 是一款 GitHub app,可安装在组织机构和用户账户中,访问必要的仓库。Allstar 首先读取包含一系列用户定义规则即安全策略的配置文件,接着不断扫描并检查项目的设置和最近活动,确保项目的敏感区域未做出任何修改。
如果最近的项目更新打破了其中一个安全策略,Allstar 能够:
记录安全策略违规;
开设 GitHub 问题,通知管理员
或者采取自动化措施修复或更改项目设置,使其符合最初的 Allstar 配置。
Allstar 未来的开发计划还包括增加如下能力:当安全检查失败时通过邮件告知管理员,如策略崩溃时禁止被合并到仓库,或者通过 RPC 调用向第三方 app 通知跨平台更新。
目前,虽然Allstar 支持如下安全策略的配置选项,但谷歌表示未来该项目还将支持更多:
检查仓库的“分支防护“功能是否仍启用
检查项目的自动化依赖关系选项是否活跃
检查项目已冻结依赖关系
检查仓库管理员是否为某个特定 GitHub 组织机构的一部分
检查二进制工件(文件)是否上传至项目
检查 SECURITY.md 文件是否存在于仓库,确保bug已被负责任地报告
虽然Allstar 最初是由谷歌开发的,不过该项目现在已经通过开源安全基金会 (OpenSSF) 公开。该基金会由当前最大的技术公司创建,以帮助引导、指导和共享开源安全工具。除谷歌外,OpenSSF 还包括了更多成员如 GitHub、微软、Canonical、思科、Facebook、Intel、惠普、IBM、Red Hat、三星等。
原文链接
https://therecord.media/google-open-sources-allstar-a-tool-to-protect-github-repos/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。