オープンソースのセキュリティスコア「Scorecards 2.0」が公開

末岡洋子
シェア

 Google(米Alphabet)とOpen Source Security Foundation(OpenSSF)は6月30日、オープンソースのセキュリティをスコアにする「Security Scorecards 2.0.0」を発表した。

 Open Source Security Foundation(OpenSSF)はLinux Foundation傘下の団体で、Googleのほか、米IBM、米Microsoftなどが設立メンバーとなり2020年8月に立ち上げた。Scorecardsプロジェクトは2020年11月に発表された取り組みで、オープンソースソフトウェアのヘルスメトリクスとして、プロジェクトのセキュリティを自動分析する取り組み。これにより、オープンソースソフトウェアを使用する際の意思決定に役立てることができる。現時点ではGitHubリポジトリのみをサポートしている。

 最新のバージョン2では、チェック項目が追加され、ブランチ向けのワークフローを強制するルールを定義するブランチ保護があるか、Fuzzingツールを使っているかどうか、CodeQLや SonarCloudなどの静的コード解析ツール(SAST)を使っているか、などが新たに加わった。これにより、合計のチェック項目は20近くとなった。

 Security Scorecards 2.0はプロジェクトのページより入手できる。ライセンスはApache License 2。

Security Scorecards
https://github.com/ossf/scorecard