谷歌开源Allstar 项目,保护GitHub 仓库安全
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
谷歌开源 Allstar 项目,通过不断监控和执行一系列安全策略来保护 GitHub 项目的安全,从而阻止基本的安全配置错误问题。
Allstar 是一款 GitHub app,可安装在组织机构和用户账户中,访问必要的仓库。Allstar 首先读取包含一系列用户定义规则即安全策略的配置文件,接着不断扫描并检查项目的设置和最近活动,确保项目的敏感区域未做出任何修改。
如果最近的项目更新打破了其中一个安全策略,Allstar 能够:
记录安全策略违规;
开设 GitHub 问题,通知管理员
或者采取自动化措施修复或更改项目设置,使其符合最初的 Allstar 配置。
Allstar 未来的开发计划还包括增加如下能力:当安全检查失败时通过邮件告知管理员,如策略崩溃时禁止被合并到仓库,或者通过 RPC 调用向第三方 app 通知跨平台更新。
目前,虽然Allstar 支持如下安全策略的配置选项,但谷歌表示未来该项目还将支持更多:
检查仓库的“分支防护“功能是否仍启用
检查项目的自动化依赖关系选项是否活跃
检查项目已冻结依赖关系
检查仓库管理员是否为某个特定 GitHub 组织机构的一部分
检查二进制工件(文件)是否上传至项目
检查 SECURITY.md 文件是否存在于仓库,确保bug已被负责任地报告
虽然Allstar 最初是由谷歌开发的,不过该项目现在已经通过开源安全基金会 (OpenSSF) 公开。该基金会由当前最大的技术公司创建,以帮助引导、指导和共享开源安全工具。除谷歌外,OpenSSF 还包括了更多成员如 GitHub、微软、Canonical、思科、Facebook、Intel、惠普、IBM、Red Hat、三星等。
推荐阅读
谷歌推出新的漏洞计划平台,开源软件补丁和研究论文也可得奖励
谷歌开源容器镜像的签名和验证工具 Cosign
谷歌Linux基金会等联合推出开源软件签名服务 sigstore,提振软件供应链安全
原文链接
https://therecord.media/google-open-sources-allstar-a-tool-to-protect-github-repos/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
谷歌开源Allstar 项目,保护GitHub 仓库安全相关推荐
- 28款GitHub最流行的开源机器学习项目,推荐GitHub上10 个开源深度学习框架
20 个顶尖的 Python 机器学习开源项目 机器学习 2015-06-08 22:44:30 发布 您的评价: 0.0 收藏 1收藏 我们在Github上的贡献者和提交者之中检查了用Python语 ...
- 部分开源UI项目——从github集成
1.Side-Menu.Android 分类侧滑菜单,Yalantis 出品. 项目地址:https://github.com/Yalantis/Side-Menu.Android 2.Context ...
- 第一次上传本地项目到github仓库出现[rejected] master -> master (fetch first) error: failed to push some refs to ‘ ‘
今天编写新项目的时候,我打算先将项目传到github的仓库,这是这个项目第一次上传,于是给我出现了一些问题,问题如下: 我上网查了许多关于这个问题的解决办法,原因主要可能是github仓库里有个rea ...
- IDEA如何上传java项目到github仓库里
1.确定自己下载好了git(百度,软件管家都可以下载) 2.添加账户 3.创建远程仓库 4.添加 5.提交 6. 在github上new repository 7.复制地址 8.push推上去 这样就 ...
- 如何把SAP WebIDE里的Web项目同Github仓库连接起来
我们在SAP WebIDE里进行UI5应用开发时,当然也希望能将开发的代码纳入到github版本管理中去. 步骤其实非常简单. 右键点击WebIDE里UI5应用,git->Initialize ...
- 推荐四个Flutter重磅开源APP项目!
热文导读| 点击标题阅读 千万别小瞧背调公司!手握美团offer,结果背调红灯,哭了 重磅!阿里内部偷师Android的开发规范文档 什么?鹅厂又出渣男了,劈腿出轨多个震惊朋友圈 1.Flutte ...
- 开源的 Switch 模拟器——GitHub 热点速览 v.21.12
作者:HelloGitHub-小鱼干 脸滚键盘操作选手小鱼干这里要推荐一个超酷 Switch 模拟器,不能埋没你的游戏天赋.Ryujinx 是一个 C# 写的 Switch 模拟器,1700+ 游戏可 ...
- 怎么用pycharm更新python_利用PyCharm操作Github(仓库新建、更新,代码回滚)
Github是目前世界上最流行的代码存储和分享平台,而PyCharm是Python圈中最流行的IDE,它很好地支持了Git操作.本文将会介绍如何利用PyCharm来连接Github,同时演示Githu ...
- 开源游戏《一小时人生》GitHub仓库被删,CEO亲自道歉
作者 | 局长 本文经授权转载自开源中国(ID:oschina2013) 在没有任何警告或通知的情况下被 GitHub 删除仓库是什么体验? 知名游戏设计师兼程序员 Jason Rohrer 昨天正好 ...
最新文章
- ECMAScript 6 学习笔记(一)
- [原创]什么是CMM?
- 史上最全的MSSQL笔记
- 微软解释 Edge 浏览器比 Chrome 更加安全的原因
- vue项目中对axios的全局封装
- java初始化变量n_java中预构造函数初始化变量的属性
- go MySQL 多语句_八、MySQL经典查询语句-Go语言中文社区
- dp聚类算法_【深度】基于残差分析的混合属性数据聚类算法
- eigen库安装_Python-OpenCV 1. 图像处理库OpenCV安装
- Java8 判空新写法!
- 计算机硬件或网络连接失败,Win10系统出现45错误代码:硬件设备未连接到计算机...
- Netty权威指南电子版(不要积分点个赞就好)
- ORA-00937:不是单组分组函数
- Safe Browsing API
- 推荐一位玩自动化、爬虫的 Python 硬核爱好者
- 夏普linux电视安装apk,海信电视u盘安装apk的两种方法,内附图文步骤
- 微信小程序使用身份证识别
- “程序员修炼之路”—东北大学CSDN全国高校巡讲成功举办(2012年11月)
- 百世集团2016校园招聘开发工程师笔试试卷
- 使用python对tushare中证500的数据进行股票评价。