Allstar 来了！为 GitHub 项目自动持续执行最佳安全实践-技术圈

技术编辑：61丨发自思否编辑部

公众号：SegmentFault

Allstar是什么

Allstar 是一款由Google开源，为 GitHub 项目提供自动持续执行安全最佳实践的应用程序。它的工作原理是让 GitHub 代码库中的项目所有者能够检查安全策略的遵守情况，设置所需的执行操作，然后在项目库中的设置或文件发生变更等情况时持续执行这些操作。

Allstar可以做什么

Allstar 是 Google 另一个开源工具 Scorecards 的配套产品，Scorecards 可以自动评估任何 GitHub 仓库及其依赖的风险。检查诸如项目是否使用分支保护、加密签名发布工件或需要代码审查等启发式方法，并为每个类别生成一个评估后的分数，帮助用户了解哪些方面可能需要改进。

Allstar 在此基础上进行接管，给项目维护者提供一个更简单的方法来实现特定安全检查的自动执行。如果任何版本库没有通过安全检查，Allstar 会自动介入并进行它认为必要的修复，以解决这个问题。通过这个程序可以让开发人员摆脱每日重复的检查与修复工作。

简而言之，Scorecards 帮助开发者衡量项目目前的安全状况与想要达到的最终目标，而 Allstar 则帮助你达成目标。

Allstar 初始安全策略检查/实施包括

分支保护（针对未经批准的拉取请求、强制推送等）；
SECURITY.md文件的存在，其中包含用于负责任的漏洞披露的定义策略；
对外部合作者执行特定要求（例如，具有仓库管理员权限的用户必须是组织内成员）；
如果在存储库中发现二进制工件，则进行检测并发出警报；

Allstar的局限性

目前 Allstar 能够执行的安全策略检查数量比较有限，Google 计划在未来几个月内逐步推出更多的策略 —— 包括冻结依赖和自动更新依赖。

- END -