谷歌开源Allstar 项目,保护GitHub 仓库安全

最新推荐文章于 2022-10-13 01:22:55 发布
最新推荐文章于 2022-10-13 01:22:55 发布
阅读量172 收藏 1
点赞数
文章标签: github git less 微软 go
原文链接:https://codesafe.qianxin.com/#/home
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

谷歌开源 Allstar 项目,通过不断监控和执行一系列安全策略来保护 GitHub 项目的安全,从而阻止基本的安全配置错误问题。

Allstar 是一款 GitHub app,可安装在组织机构和用户账户中,访问必要的仓库。Allstar 首先读取包含一系列用户定义规则即安全策略的配置文件,接着不断扫描并检查项目的设置和最近活动,确保项目的敏感区域未做出任何修改。

如果最近的项目更新打破了其中一个安全策略,Allstar 能够:

  • 记录安全策略违规;

  • 开设 GitHub 问题,通知管理员

  • 或者采取自动化措施修复或更改项目设置,使其符合最初的 Allstar 配置。

Allstar 未来的开发计划还包括增加如下能力:当安全检查失败时通过邮件告知管理员,如策略崩溃时禁止被合并到仓库,或者通过 RPC 调用向第三方 app 通知跨平台更新。

目前,虽然Allstar 支持如下安全策略的配置选项,但谷歌表示未来该项目还将支持更多:

  • 检查仓库的“分支防护“功能是否仍启用

  • 检查项目的自动化依赖关系选项是否活跃

  • 检查项目已冻结依赖关系

  • 检查仓库管理员是否为某个特定 GitHub 组织机构的一部分

  • 检查二进制工件(文件)是否上传至项目

  • 检查 SECURITY.md 文件是否存在于仓库,确保bug已被负责任地报告

虽然Allstar 最初是由谷歌开发的,不过该项目现在已经通过开源安全基金会 (OpenSSF) 公开。该基金会由当前最大的技术公司创建,以帮助引导、指导和共享开源安全工具。除谷歌外,OpenSSF 还包括了更多成员如 GitHub、微软、Canonical、思科、Facebook、Intel、惠普、IBM、Red Hat、三星等。

推荐阅读

谷歌推出新的漏洞计划平台,开源软件补丁和研究论文也可得奖励

谷歌开源容器镜像的签名和验证工具 Cosign

谷歌Linux基金会等联合推出开源软件签名服务 sigstore,提振软件供应链安全

原文链接

https://therecord.media/google-open-sources-allstar-a-tool-to-protect-github-repos/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2017 Github优秀开源项目整理
浩时代的博客
01-01 2万+
基于自己团队的需求,以后每周会整理一些不错的Github开源项目(每周3-6个),范围主要包括:编程基础,前端开发,客户端开发,图形图像,网络,通用工具等,但不局限于此,一些服务端技术以及前沿技术(如:AI,AR,loT等)也可能会涉及到。相信多开阔眼界,方能看的更远!
5个好玩的github游戏区开源项目
01-25
5个好玩的github游戏区开源项目,包含c++,java,javascript,rust。
AllStar:在 Debian 平台上编译 AllStar Asterisk 的补丁和文件
06-17
全明星 在 Debian 平台上编译 AllStar Asterisk 的补丁和文件 又快又脏: 从右侧的链接下载 zip 文件 到 /tmp 解压文件 cd /tmp/AllStar-master mv * /srv 光盘/srv mkdir 下载 将特定于平台的文件复制到 /srv 即:cp平台/rpi/rpi2/*。 更多信息请关注
Github 安全攻防项目收集-20221012
m0_73351035的博客
10-13 332
….后续省略火眼金睛是一个GitHub监控和信息收集工具,支持监控和收集CVE、免杀、漏洞利用等内置关键字和自定义关键字。支持钉钉、Server酱和Telegram推送,过滤敏感词,查找包含关键字的所有仓库并输出到FEGC.xlsx文件。默认关键字列表有限,可通过文件指定关键字和敏感词,由于GitHub API速率限制,目前仅实现单线程。对上我的需求,我将其作为一个 Github 项目收集使用 (即使用收集模式 -c ),操作命令如下:  python3 FireEyeGoldCrystal.py
小心,你的账号密码可能在 GitHub 上裸奔!
GitHubDaily
02-05 4004
公众号关注“GitHubDaily”设为 “星标”,每天带你逛 GitHub!去年,疑似 “陕西普通话成绩查询网(sxpth.cn)” 由于网站的程序员把所有考生信息(包括照片、身份证...
GitHub开源项目:绝版游戏保护工程.zip
08-29
GitHub开源项目:绝版游戏保护工程.zip含下载地址可存云盘
收藏的博客 -- Qt有关的GitHub-Gitee开源项目.docx
07-07
目录 Qt官网下载/文档 Qt知名社区 Qt技术博客1 Qt开源框架 KDE/Qt Qt Github精品收藏1 -- IDE ...Qt sourceforge精品项目 Qt Git Client GUI Qt开发的大型开源软件 Qt开发环境搭建: Qt基础知识: C++学习书籍推荐:
GitHubStar:一个让GitHub开源项目Swift成长的平台.https
05-27
GitHubStar 官方网站 在这里您可以: 任何建议或者遇到什么问题,可以在反馈。 也可以加入交流群:904860781 还可以选择赞助本站 app下载 一,web端使用简介 1,登录 只需要用自己的github账号密码登录即可,而且...
通过Github仓库链接爬取其star的数量
12-21
通过Github仓库链接爬取其star的数量 今天在处理Ghtorrent的projects数据表时,发现里面竟然没有star的数量,于是就想捣鼓着通过数据表里提供的链接把star数量爬下来。 没想到在爬取的过程中碰到了一个火狐浏览器的...
确保软件供应链安全的三大建议
smellycat000的专栏
07-22 489
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的...
GitHub上十个最流行的安全项目
weixin_33941350的博客
08-01 175
开源正在走向胜利,虽然这一天或许会来的晚一点,但是开源终将胜利。在网络安全社区里,尽管许多公司以商业软件的方式牢牢把握着自己的代码不放,但是也有很多安全方面的开源项目可供专业的安全人员使用。 搜寻这些安全相关的开源软件最好的地方显然是 GitHub。你可以使用该网站上的搜索功能来找到这些有用的工具,但是有一个地方可以让你找到那些安全方面最流行的项目,...
github网络安全项目工具集合
公众号:乌云安全
03-15 1120
主要内容: 0x00 漏洞利用实战练习&CTF安全竞赛 0x01 安全扫描器 0x02 安全防守 0x03 渗透测试 0x04 漏洞库及利用工具(POC,EXP) 0x05 二进制及代码分析工具 0x06 威胁情报&蜜罐 0x07 安全文档资料 0x11 所有内容 乌云镜像 乌云镜像,已挂 乌云镜像,已挂 近期安全热点 Linux系统Snap-confine功能中发现多个漏洞CVE-2021-44731等 Linux kernel内核 TIPC协议漏洞 CVE-
谈谈 GitHub 开放私有仓库一事的影响
GitHubDaily
01-09 4046
GitHub 此次宣布免费开放私有仓库,在我看来有以下几点影响:缓和与同类产品间的竞争压力小部分个人项目开源转闭源微软在技术社区中的企业形象进一步强化为未来的企业服务预热下面根据以上几...
优秀的 GitHub 项目合集
热门推荐
javaxuexi123的博客
02-03 1万+
SJNetwork - 高度封装AFNetworking的网络框架 作者:J_Knight_项目地址:hhttps://github.com/knightsj/SJNetwork使用对象封装并管理请求,支持批量读取和清空缓存,图片上传,后台下载(也支持断点续传),批量取消请求等功能。 LSAnimator - 易于读写的多链式动画框架 作者:Lision项目地址:github.com
Github优质安全项目
soldi_er的博客
07-21 233
文章目录星链计划 星链计划   项目地址:https://github.com/knownsec/404StarLink-Project。   "404星链计划"是知道创宇404实验室于2020年8月开始的计划,旨在通过开源或者开放的方式,长期维护并推进涉及安全研究各个领域不同环节的工具化,就像星链一样,将立足于不同安全领域、不同安全环节的研究人员链接起来。   2020年11月,知道创宇404实验室正式推出星链计划2.0。通过星链计划核心社群成员作为核心,筛选优质、有意义、有趣、坚持维护的开源项目加入星
GitHub 推出安全新功能,帮助开源软件发现漏洞和机密信息
smellycat000的专栏
05-07 505
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队本周三,GitHub宣布推出两个安全新功能,旨在帮助开发人员找到代码中的漏洞和潜在的敏感机密信息。GitHub 在 Sat...
19个安全专家一定要关注的开源 GitHub 项目
skykingf的专栏
04-28 1419
转自 https://linux.cn/article-7275-1.html 虽然大多数管理员完全有能力以手动方式执行任务或者编写脚本以实现流程自动化,但借力于现成工具显然更具成本效率。与此同时,拥有超过800个安全项目GitHub则是一座IT管理员不容错过的宝库,其中大量工具与框架足以应对恶意软件分析、渗透测试、计算机与网络取证、事件响应以及网络监控等等现实问题
GitHub上10个最受欢迎的安全项目
weixin_33938733的博客
07-03 851
开源项目最终还是迎来了属于它的胜利,虽然这胜利姗姗来迟,但终究还是实现了。在信息安全领域,尽管许多公司封锁了它们的专有软件代码,但仍有许多开源项目可供安全专家使用。 其中,寻找开源安全相关项目的首选就是GitHub。你可以利用GitHub的搜索功能发现有用的工具,但是,GitHub有一个地方可以帮你获寻最热门的安全项目,就是所谓的GitHub Showc...
Github开源项目
最新发布
10-20
Github开源项目是指在Github平台上公开发布的开源软件项目。这些项目可以由任何人免费查看、下载、使用和修改。Github开源项目的优点在于可以让开发者们共同协作,共同开发和完善软件,同时也可以让用户们更好地了解...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值