自动评估开源项目的安全评分

2020年11月6日（当地时间），开源安全基金会OpenSSF（也参加了Google）发布了安全评分卡，可以自动评估开源项目的安全性。

在开源软件开发字段中，您可以使用其他打包的开源软件功能，而不必从头开始编写代码。一个对象根据另一个对象的行为方式称为依赖性。

即使是主要的IT公司（例如Google）也可以在其软件中包含开源项目依赖项，但是很难确定软件包是否安全。需要指出的是，即使是Google也在努力引入依赖关系，因此在小规模资源有限的开放源代码项目开发站点中，安全性通常是适得其反的。

在意识到这一点之后，安全计分卡被宣布为OpenSSF纪念的第一个开源项目，该项目于2020年8月启动。开发该安全计分卡的主要目的是更好地判断与使用开源项目相关的安全问题，并正确评估项目运行状况。使用安全记分卡时，会自动生成开放源代码项目的安全评分，这使得风险和安全级别比引入新依赖项时更容易。

将安全记分卡用于项目时，它将自动检查12个项目，包括项目是否包含安全策略，是否至少有来自两个不同组织的至少两个参与者以及是否正在声明依赖项。评估的可靠性得分最高。

2020年10月，也有报道称恶意开放源代码组件伪装成通用软件包。OpenSSF表示，诸如安全计分卡之类的工作将有助于减轻恶意依赖项潜入操作系统的风险。安全记分卡现在仅在GitHub存储库中可用，但是OpenSSF表示，它计划将来在其他源代码存储库中开发安全记分卡。相关信息可以在这里找到。