Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

【文章推荐】OpenSSF 支持 .NET 生态 #756

Open
gaufung opened this issue Nov 7, 2024 · 1 comment
Open

【文章推荐】OpenSSF 支持 .NET 生态 #756

gaufung opened this issue Nov 7, 2024 · 1 comment
Labels
文章推荐

Comments

@gaufung
Copy link
Collaborator

gaufung commented Nov 7, 2024

https://devblogs.microsoft.com/nuget/openssf-scorecard-for-net-nuget/
@gaufung
Copy link
Collaborator Author

gaufung commented Nov 30, 2024

image

OpenSSF Scorecard 是由开源安全基金会提供的安全评估工具。现在 .NET 的开源维护者可以使用 GitHub Action 生成项目的安全系数,该系数为 0 到 10. 越高表示项目的安全系数越高。它主要由下面几个用处

  1. 明确安全危险
  2. 提高软件质量
  3. 赢得用户信任
  4. 满足合规要求
  5. 透明安全标准
  6. 鼓励安全最佳实践
  7. 阻止供应链攻击

该检查包含以下内容

  1. 是否包含二进制文件
  2. 是否代码分支保护
  3. 是否有 CI
  4. 是否有 OpenSSF 的最佳实践证书
  5. 是否有代码评估
  6. 是否有不同的贡献者
  7. 是否有危险的 workflow
  8. 是否依赖更新工具
  9. 是否有 Fuzzing 工具
  10. 是否有 License
  11. 是否在维护中
  12. 是否固定依赖版本
  13. 是否打包
  14. 是否包含安全政策
  15. 是否签名发布
  16. 是否有token 管理权限
  17. 是否有未解决的安全隐患
  18. 是否有 webhook

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
文章推荐
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
1 participant
@gaufung