OpenSSF 13.08.2021, 10:38 Uhr

Allstar GitHub App

Allstar ist eine GitHub-App, die eine automatisierte Durchsetzung von Best Practices für GitHub-Projekte ermöglichen soll. Mit Allstar können Eigentümer die Einhaltung von Sicherheitsrichtlinien überprüfen, Durchsetzungsmaßnahmen festlegen und diese umsetzen.
(Quelle: openssf.org)
Allstar ist eine Ergänzung zu Security Scorecards, einem automatisierten Tool, das die Risiken für ein Repository und seine Abhängigkeiten bewertet. Security Scorecards prüft eine Reihe von wichtigen Heuristiken (derzeit 18), zum Beispiel ob das Projekt einen Zweigschutz verwendet, Release-Artefakte kryptografisch signiert oder eine Codeüberprüfung verlangt. Anhand dieser Ergebnisse können die Benutzer erkennen, in welchen Bereichen sie Verbesserungen vornehmen müssen, um die Sicherheit ihres Projekts zu erhöhen. Von hier aus geht Allstar den nächsten Schritt und ermöglicht es den Betreuern, sich für die automatische Durchführung bestimmter Prüfungen zu entscheiden. Besteht ein Repository eine bestimmte Prüfung nicht, greift Allstar ein und nimmt die notwendigen Änderungen vor, um das Problem zu beheben, so dass der zusätzliche Aufwand für regelmäßige manuelle Korrekturen entfällt. Kurz gesagt: Security Scorecards helfen, die aktuelle Sicherheitslage mit derjenigen zu vergleichen, die Sie erreichen wollen; Allstar hilft , dieses Ziel zu erreichen.
Allstar prüft kontinuierlich die erwarteten GitHub-API-Zustände und Repository-Dateiinhalte (Repository-Einstellungen, Branch-Einstellungen, Workflow-Einstellungen) anhand definierter Sicherheitsrichtlinien und wendet Durchsetzungsmaßnahmen an (Einreichen von Problemen, Ändern der Einstellungen), wenn die erwarteten Zustände nicht mit den Richtlinien übereinstimmen. Die kontinuierliche Art der Durchsetzung schützt vor heimlichen Angriffen, die von Menschen nicht bemerkt werden könnten: Allstar erkennt und reagiert auf einen Richtlinienverstoß, wenn jemand beispielsweise den Schutz von Verzweigungen vorübergehend deaktiviert, um eine böswillige Änderung vorzunehmen, bevor er den Schutz wieder aktiviert.
OpenSSF betreibt eine Allstar-Instanz, die jeder installieren und nutzen kann. Sie können jedoch aus Sicherheits- oder Anpassungsgründen Ihre eigene Allstar-Instanz erstellen und betreiben.
Mehr zu Allstar erfahren Sie hier.


Das könnte Sie auch interessieren