
作者:Azeem Shaikh(谷歌),Laurent Simon(谷歌),Naveen Srinivasan(Endor实验室),Stephen Augustus(思科)。
今天,我们很高兴地发布了来自中国的新功能。 记分卡项目这就是OpenSSF工具,它帮助维护者遵循最佳安全实践。指南针 记分卡 GitHub行动 现在支持REST API来快速查看项目分数,我们还增加了我们最喜欢的新功能之一:徽章我们希望这些新增功能将使开源维护者和消费者与计分卡的互动比以往更加顺畅。
新用户,新功能
记分卡自成立以来一直在增长。 我们的GitHub行动的发布,与 1600多个存储库 包括重大项目,如 Tensorflow, 翩翩起舞, 角度, urllib3,以及 日蚀基金会 使用记分卡将最佳实践纳入其软件开发生命周期,以实现持续改进。
我们的 v1版发布 在今年早些时候,我们推出了 "发布结果 "功能。在V2版中,这个选项允许用户自动将他们的记分卡结果发送到我们的服务器进行分析。由于这个选项所收集的数据,我们现在可以支持另外两个功能。
- A REST API 用于查询任何公共存储库的发布结果。开放源码的消费者可以使用记分卡API来了解其供应链的安全健康状况,而不是手动查询CLI。
- 徽章 来展示你为改善安全实践所做的努力。徽章对维护者特别有用,他们将能够一目了然地评估依赖性。
行动中的徽章
我们对徽章感到兴奋,因为它们向开源社区展示了你在改善安全态势方面所做的努力。举例来说。 urllib3,一个流行的Python项目,有 每天有近1000万次安装.该项目已经展示了你可能熟悉的徽章。100%单元测试覆盖率和一个 "通过 "CI测试徽章。现在,urllib3还包括一个9.3/10分的Scorecards徽章。
与 这么高的分数, urllib3 显示其对安全实践的承诺--但徽章并不只适用于具有出色分数的项目。如果你还在努力提高你的分数,拥有一个徽章就可以告诉别人,你知道安全的最佳实践,并认真对待它们。随着你的改进,你的徽章会自动更新,改进的过程可能真的很有意义--一个很好的例子,请看看 Dart和Flutter已经走了多远。
壮大社区
社区的采用是至关重要的!显示徽章的项目越多,我们就越能鼓励新的记分卡采用者并帮助提高开源安全的集体水平。如果有一个你特别关心的项目,请把他们带到我们新的 网站, 甚至可以考虑向项目提交一个PR,以安装Scorecards GitHub Action。
向所有记分卡的贡献者,特别是我们的实习生表示感谢 Rohan Khandelwal 为推动徽章工作。他的努力显示了一个贡献者是如何对开源安全产生影响的。如果你想让你的贡献得到重视。 给我们打个电话吧-我们一直在寻找更多的合作者!