新的谷歌记分卡工具会扫描开源软件，寻找更多的安全风险

谷歌推出了更新版的记分卡，这是一种自动安全工具，可以为开源项目生成“风险分数”，并改进了检查和功能，使该工具生成的数据可供分析使用

“如今有如此多的软件依赖于开源项目，消费者需要一种简单的方法来判断他们的依赖关系是否安全，”谷歌的开源安全团队周四说。“记分卡有助于减少维护项目供应链时持续评估变更包所需的工作量和手动工作。”

记分卡旨在自动分析开放源代码项目的安全态势，并使用安全健康指标主动改善其他关键项目的安全态势。到目前为止，该工具已被扩展，以评估超过50000个开源项目的安全标准

一些新增加的功能包括检查恶意作者或受损帐户的贡献，这些贡献可能会在代码中引入潜在的后门，使用模糊（例如OSS Fuzz）和静态代码分析工具（例如CodeQL），CI/CD受损的迹象，以及糟糕的依赖关系

“在我们有依赖关系的任何地方，固定依赖关系都是有用的：不仅在编译期间，在Dockerfiles、CI/CD工作流等中也是如此，”该团队说。“记分卡使用冻结的Deps检查来检查这些反模式。此检查有助于减轻恶意依赖攻击，如最近的CodeCov攻击。”

谷歌还指出，大量经过分析的项目并没有持续模糊化，它们既没有定义报告漏洞的安全策略，也没有确定依赖关系，同时还强调需要提高这些关键项目的安全性，并提高对广泛的安全风险的认识

记分卡v2发布几周前，该公司预览了一个名为“软件工件供应链级别”（或SLSA）的端到端框架，以确保软件工件的完整性，并防止在开发和部署过程中进行未经授权的修改。