scorecard
v5.0.0
Kami menciptakan Scorecard untuk membantu pengelola open source meningkatkan praktik terbaik keamanan mereka dan membantu konsumen open source menilai apakah dependensi mereka aman.
Scorecard adalah alat otomatis yang menilai sejumlah heuristik penting ("pemeriksaan") yang terkait dengan keamanan perangkat lunak dan memberikan skor 0-10 pada setiap pemeriksaan. Anda dapat menggunakan skor ini untuk memahami area tertentu yang perlu ditingkatkan guna memperkuat postur keamanan proyek Anda. Anda juga dapat menilai risiko yang ditimbulkan oleh ketergantungan, dan membuat keputusan yang tepat mengenai penerimaan risiko ini, mengevaluasi solusi alternatif, atau bekerja sama dengan pengelola untuk melakukan perbaikan.
Inspirasi logo Scorecard: "Anda lulus! Semua nilai D...dan nilai A!"
Mengotomatiskan analisis dan memercayai keputusan pada postur keamanan proyek sumber terbuka.
Gunakan data ini untuk secara proaktif meningkatkan postur keamanan proyek-proyek penting yang menjadi sandaran dunia.
Bertindak sebagai alat ukur terhadap kebijakan yang ada
Jika konsumen OSS memerlukan perilaku tertentu dari ketergantungan mereka, Scorecard dapat digunakan untuk mengukurnya. Dengan rilis V5, kami melihat Hasil Terstruktur sebagai cara untuk melakukan hal ini jika ada analisis yang didukung. Daripada mengandalkan skor agregat X/10, atau skor Tertahan Y/10, konsumen OSS mungkin ingin memastikan repo yang mereka andalkan tidak diarsipkan (yang tercakup dalam pemeriksaan archived ). OpenSSF mengambil pendekatan ini dengan Garis Dasar Keamanannya sendiri untuk proyek-proyek.
Menjadi laporan atau persyaratan pasti yang harus diikuti oleh semua proyek.
Scorecard tidak dimaksudkan untuk menjadi solusi universal. Setiap langkah dalam membuat hasil kami berdasarkan pendapat: pemeriksaan apa yang disertakan atau dikecualikan, pentingnya setiap pemeriksaan, dan bagaimana skor dihitung. Pemeriksaan itu sendiri bersifat heuristik; ada positif palsu dan negatif palsu.
Baik karena penerapan, atau kelayakan, atau masalah opini, apa yang disertakan atau dikecualikan dari hasil Kartu Skor menimbulkan banyak diskusi. Tidak mungkin membuat Kartu Skor yang dapat memuaskan semua orang karena audiens yang berbeda akan memedulikan bagian perilaku yang berbeda.
Skor agregat khususnya tidak memberi tahu Anda apa pun tentang perilaku individu yang dilakukan atau tidak dilakukan oleh repositori. Banyak skor cek yang dikumpulkan menjadi satu skor, dan ada beberapa cara untuk mendapatkan skor yang sama. Skor ini berubah saat kita menambahkan heuristik baru atau menyempurnakan heuristik yang sudah ada.
Scorecard telah dijalankan di ribuan proyek untuk memantau dan melacak metrik keamanan. Proyek terkemuka yang menggunakan Scorecard meliputi:
Untuk melihat skor proyek yang dipindai secara rutin oleh Scorecard, navigasikan ke penampil web. Anda juga dapat mengganti teks placeholder (platform, pengguna/org, dan nama repositori) di tautan templat berikut untuk membuat tautan Kartu Skor khusus untuk repo: https://scorecard.dev/viewer/?uri=<github_or_gitlab>.com/<user_name_or_org>/<repository_name>
Misalnya:
Untuk melihat skor proyek yang tidak disertakan dalam penampil web, gunakan CLI Kartu Skor.
Kami menjalankan pemindaian Scorecard mingguan terhadap 1 juta proyek open source paling penting yang dinilai berdasarkan ketergantungan langsungnya dan memublikasikan hasilnya dalam kumpulan data publik BigQuery.
Data ini tersedia di kumpulan data BigQuery publik openssf:scorecardcron.scorecard-v2 . Hasil terbaru tersedia di tampilan BigQuery openssf:scorecardcron.scorecard-v2_latest .
Anda dapat membuat kueri data menggunakan BigQuery Explorer dengan membuka Tambahkan Data > Beri bintang pada proyek berdasarkan nama > 'openssf'. Misalnya, Anda mungkin tertarik dengan perubahan skor proyek seiring berjalannya waktu:
SELECT date , score FROM ` openssf.scorecardcron.scorecard-v2 ` WHERE repo . name = " github.com/ossf/scorecard " ORDER BY date ASC Anda dapat mengekstrak hasil terbaru ke penyimpanan Google Cloud dalam format JSON menggunakan alat bq :
# Get the latest PARTITION_ID
bq query --nouse_legacy_sql 'SELECT partition_id FROM
openssf.scorecardcron.INFORMATION_SCHEMA.PARTITIONS WHERE table_name="scorecard-v2"
AND partition_id!="__NULL__" ORDER BY partition_id DESC
LIMIT 1'
# Extract to GCS
bq extract --destination_format=NEWLINE_DELIMITED_JSON
'openssf:scorecardcron.scorecard-v2$<partition_id>' gs://bucket-name/filename-*.json
Daftar proyek yang diperiksa tersedia di file cron/internal/data/projects.csv di repositori ini. Jika Anda ingin kami melacak lebih banyak, silakan kirimkan Permintaan Tarik bersama orang lain. Saat ini, daftar ini berasal dari proyek yang dihosting di GitHub SAJA . Kami berencana untuk memperluasnya dalam waktu dekat untuk memperhitungkan proyek yang dihosting di sistem kontrol sumber lain.
Cara termudah untuk menggunakan Scorecard pada proyek GitHub yang Anda miliki adalah dengan Scorecard GitHub Action. Tindakan ini berjalan pada setiap perubahan repositori dan mengeluarkan peringatan yang dapat dilihat oleh pengelola di tab Keamanan repositori. Untuk informasi selengkapnya, lihat petunjuk penginstalan Scorecard GitHub Action.
Untuk menanyakan skor proyek OSS yang telah dihitung sebelumnya, gunakan REST API.
Untuk mengaktifkan proyek Anda agar tersedia di REST API, publish_results: true di pengaturan Scorecard GitHub Action.
Data yang disediakan oleh REST API dilisensikan berdasarkan CDLA Permisif 2.0.
Mengaktifkanpublish_results publish_results: true di Scorecard GitHub Actions juga memungkinkan pengelola menampilkan lencana Scorecard di repositori mereka untuk memamerkan kerja keras mereka. Lencana ini juga diperbarui secara otomatis untuk setiap perubahan yang dilakukan pada repositori. Lihat detail lebih lanjut di postingan blog OSSF ini.
Untuk menyertakan lencana pada repositori proyek Anda, cukup tambahkan penurunan harga berikut ke README Anda:
[](https://scorecard.dev/viewer/?uri=github.com/{owner}/{repo})
Untuk menjalankan pemindaian Scorecard pada proyek yang bukan milik Anda, gunakan opsi instalasi antarmuka baris perintah.
Platform: Saat ini, Scorecard mendukung platform OSX dan Linux. Jika Anda menggunakan OS Windows, Anda mungkin mengalami masalah. Kontribusi untuk mendukung Windows dipersilahkan.
Bahasa: Anda harus menginstal GoLang untuk menjalankan Scorecard (https://golang.org/doc/install)
scorecard tersedia sebagai wadah Docker:
docker pull gcr.io/openssf/scorecard:stableUntuk menggunakan versi kartu skor tertentu (misalnya v3.2.1), jalankan:
docker pull gcr.io/openssf/scorecard:v3.2.1Untuk menginstal Scorecard sebagai perangkat mandiri:
Kunjungi halaman rilis terbaru kami dan unduh file zip yang benar untuk sistem operasi Anda.
Tambahkan biner ke direktori GOPATH/bin Anda (gunakan go env GOPATH untuk mengidentifikasi direktori Anda jika perlu).
Kami membuat tanda tangan SLSA3 menggunakan generator slsa-framework/slsa-github-generator OpenSSF selama proses rilis. Untuk memverifikasi biner rilis:
attestation.intoto.jsonl dari halaman rilis GitHub.slsa-verifier -artifact-path < the-zip > -provenance attestation.intoto.jsonl -source github.com/ossf/scorecard -tag < the-tag > | Manajer Paket | Distribusi yang Didukung | Memerintah |
|---|---|---|
| Nix | NixOS | nix-shell -p nixpkgs.scorecard |
| pembantu AUR | Lengkungan Linux | Gunakan pembantu AUR Anda untuk memasang scorecard |
| minuman rumahan | macOS atau Linux | brew install scorecard |
GitHub menerapkan batasan laju api pada permintaan yang tidak diautentikasi. Untuk menghindari batasan ini, Anda harus mengautentikasi permintaan Anda sebelum menjalankan Scorecard. Ada dua cara untuk mengautentikasi permintaan Anda: membuat token akses pribadi GitHub, atau membuat Instalasi Aplikasi GitHub.
public_repo . Tetapkan token dalam variabel lingkungan bernama GITHUB_AUTH_TOKEN , GITHUB_TOKEN , GH_AUTH_TOKEN atau GH_TOKEN menggunakan perintah di bawah ini sesuai dengan platform Anda. # For posix platforms, e.g. linux, mac:
export GITHUB_AUTH_TOKEN= < your access token >
# Multiple tokens can be provided separated by comma to be utilized
# in a round robin fashion.
export GITHUB_AUTH_TOKEN= < your access token 1> , < your access token 2>
# For windows:
set GITHUB_AUTH_TOKEN= < your access token >
set GITHUB_AUTH_TOKEN= < your access token 1> , < your access token 2>ATAU
set atau export ) yang ditunjukkan di atas untuk platform Anda. GITHUB_APP_KEY_PATH=<path to the key file on disk>
GITHUB_APP_INSTALLATION_ID=<installation id>
GITHUB_APP_ID=<app id>
Variabel-variabel ini dapat diperoleh dari halaman pengaturan pengembang GitHub.
Scorecard dapat dijalankan hanya dengan menggunakan satu argumen, URL repo target:
$ scorecard --repo=github.com/ossf-tests/scorecard-check-branch-protection-e2e
Starting [CII-Best-Practices]
Starting [Fuzzing]
Starting [Pinned-Dependencies]
Starting [CI-Tests]
Starting [Maintained]
Starting [Packaging]
Starting [SAST]
Starting [Dependency-Update-Tool]
Starting [Token-Permissions]
Starting [Security-Policy]
Starting [Signed-Releases]
Starting [Binary-Artifacts]
Starting [Branch-Protection]
Starting [Code-Review]
Starting [Contributors]
Starting [Vulnerabilities]
Finished [CI-Tests]
Finished [Maintained]
Finished [Packaging]
Finished [SAST]
Finished [Signed-Releases]
Finished [Binary-Artifacts]
Finished [Branch-Protection]
Finished [Code-Review]
Finished [Contributors]
Finished [Dependency-Update-Tool]
Finished [Token-Permissions]
Finished [Security-Policy]
Finished [Vulnerabilities]
Finished [CII-Best-Practices]
Finished [Fuzzing]
Finished [Pinned-Dependencies]
RESULTS
-------
Aggregate score: 7.9 / 10
Check scores:
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| SCORE | NAME | REASON | DOCUMENTATION/REMEDIATION |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 10 / 10 | Binary-Artifacts | no binaries found in the repo | github.com/ossf/scorecard/blob/main/docs/checks.md#binary-artifacts |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 9 / 10 | Branch-Protection | branch protection is not | github.com/ossf/scorecard/blob/main/docs/checks.md#branch-protection |
| | | maximal on development and all | |
| | | release branches | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| ? | CI-Tests | no pull request found | github.com/ossf/scorecard/blob/main/docs/checks.md#ci-tests |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | CII-Best-Practices | no badge found | github.com/ossf/scorecard/blob/main/docs/checks.md#cii-best-practices |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 10 / 10 | Code-Review | branch protection for default | github.com/ossf/scorecard/blob/main/docs/checks.md#code-review |
| | | branch is enabled | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | Contributors | 0 different companies found -- | github.com/ossf/scorecard/blob/main/docs/checks.md#contributors |
| | | score normalized to 0 | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | Dependency-Update-Tool | no update tool detected | github.com/ossf/scorecard/blob/main/docs/checks.md#dependency-update-tool |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | Fuzzing | project is not fuzzed in | github.com/ossf/scorecard/blob/main/docs/checks.md#fuzzing |
| | | OSS-Fuzz | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 1 / 10 | Maintained | 2 commit(s) found in the last | github.com/ossf/scorecard/blob/main/docs/checks.md#maintained |
| | | 90 days -- score normalized to | |
| | | 1 | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| ? | Packaging | no published package detected | github.com/ossf/scorecard/blob/main/docs/checks.md#packaging |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 8 / 10 | Pinned-Dependencies | unpinned dependencies detected | github.com/ossf/scorecard/blob/main/docs/checks.md#pinned-dependencies |
| | | -- score normalized to 8 | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | SAST | no SAST tool detected | github.com/ossf/scorecard/blob/main/docs/checks.md#sast |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | Security-Policy | security policy file not | github.com/ossf/scorecard/blob/main/docs/checks.md#security-policy |
| | | detected | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| ? | Signed-Releases | no releases found | github.com/ossf/scorecard/blob/main/docs/checks.md#signed-releases |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 10 / 10 | Token-Permissions | tokens are read-only in GitHub | github.com/ossf/scorecard/blob/main/docs/checks.md#token-permissions |
| | | workflows | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 10 / 10 | Vulnerabilities | no vulnerabilities detected | github.com/ossf/scorecard/blob/main/docs/checks.md#vulnerabilities |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- | GITHUB_AUTH_TOKEN harus disetel ke token yang valid
docker run -e GITHUB_AUTH_TOKEN=token gcr.io/openssf/scorecard:stable --show-details --repo=https://github.com/ossf/scorecardUntuk menggunakan versi kartu skor tertentu (misalnya v3.2.1), jalankan:
docker run -e GITHUB_AUTH_TOKEN=token gcr.io/openssf/scorecard:v3.2.1 --show-details --repo=https://github.com/ossf/scorecard Untuk rincian lebih lanjut tentang mengapa pemeriksaan gagal, gunakan opsi --show-details :
./scorecard --repo=github.com/ossf-tests/scorecard-check-branch-protection-e2e --checks Branch-Protection --show-details
Starting [Pinned-Dependencies]
Finished [Pinned-Dependencies]
RESULTS
-------
|---------|------------------------|--------------------------------|--------------------------------|---------------------------------------------------------------------------|
| SCORE | NAME | REASON | DETAILS | DOCUMENTATION/REMEDIATION |
|---------|------------------------|--------------------------------|--------------------------------|---------------------------------------------------------------------------|
| 9 / 10 | Branch-Protection | branch protection is not | Info: 'force pushes' disabled | github.com/ossf/scorecard/blob/main/docs/checks.md#branch-protection |
| | | maximal on development and all | on branch 'main' Info: 'allow | |
| | | release branches | deletion' disabled on branch | |
| | | | 'main' Info: linear history | |
| | | | enabled on branch 'main' Info: | |
| | | | strict status check enabled | |
| | | | on branch 'main' Warn: status | |
| | | | checks for merging have no | |
| | | | specific status to check on | |
| | | | branch 'main' Info: number | |
| | | | of required reviewers is 2 | |
| | | | on branch 'main' Info: Stale | |
| | | | review dismissal enabled on | |
| | | | branch 'main' Info: Owner | |
| | | | review required on branch | |
| | | | 'main' Info: 'administrator' | |
| | | | PRs need reviews before being | |
| | | | merged on branch 'main' | |
|---------|------------------------|--------------------------------|--------------------------------|---------------------------------------------------------------------------|
Anotasi Pengelola memungkinkan pengelola menambahkan konteks untuk ditampilkan bersama hasil pemeriksaan Kartu Skor. Anotasi dapat memberikan informasi tambahan kepada pengguna ketika Scorecard memiliki penilaian yang tidak lengkap mengenai praktik keamanan proyek. Untuk melihat anotasi pengelola untuk setiap pemeriksaan, gunakan opsi --show-annotations .
Untuk informasi selengkapnya tentang anotasi yang tersedia atau cara membuat anotasi, lihat dokumen konfigurasi.
Untuk menjalankan Scorecard di repositori GitLab, Anda harus membuat Token Akses GitLab dengan izin berikut:
read_apiread_userread_repository Anda dapat menjalankan Scorecard di repositori GitLab dengan mengatur variabel lingkungan GITLAB_AUTH_TOKEN :
export GITLAB_AUTH_TOKEN=glpat-xxxx
scorecard --repo gitlab.com/ < org > / < project > / < subproject >Untuk contoh penggunaan Scorecard di GitLab CI/CD, lihat di sini.
Meskipun kami fokus pada dukungan GitLab.com, Scorecard juga berfungsi dengan instalasi GitLab yang dihosting sendiri. Jika platform Anda dihosting di subdomain (misalnya gitlab.foo.com ), Kartu Skor akan langsung berfungsi. Jika platform Anda dihosting di beberapa slug (misalnya foo.com/bar/ ), Anda perlu menyetel variabel lingkungan GL_HOST .
export GITLAB_AUTH_TOKEN=glpat-xxxx
export GL_HOST=foo.com/bar
scorecard --repo foo.com/bar/ < org > / < project > Untuk menggunakan host GitHub Enterprise github.corp.com , gunakan variabel lingkungan GH_HOST .
# Set the GitHub Enterprise host without https prefix or slash with relevant authentication token
export GH_HOST=github.corp.com
export GITHUB_AUTH_TOKEN=token
scorecard --repo=github.corp.com/org/repo
# OR without github host url
scorecard --repo=org/repo Untuk proyek di ekosistem --npm , --pypi , --rubygems , atau --nuget , Anda memiliki opsi untuk menjalankan Scorecard menggunakan manajer paket. Berikan nama paket untuk menjalankan pemeriksaan pada kode sumber GitHub yang sesuai.
Misalnya, --npm=angular .
Untuk menjalankan pemeriksaan tertentu saja, tambahkan argumen --checks dengan daftar nama pemeriksaan.
Misalnya, --checks=CI-Tests,Code-Review .
Format yang didukung saat ini adalah default (teks) dan json .
Ini dapat ditentukan dengan flag --format . Misalnya, --format=json .
Semua pemeriksaan berikut dijalankan terhadap proyek target secara default:
| Nama | Keterangan | Tingkat Risiko | Token Diperlukan | Dukungan GitLab | Catatan |
|---|---|---|---|---|---|
| Artefak Biner | Apakah proyek bebas dari biner yang didaftarkan? | Tinggi | PAT, GITHUB_TOKEN | Didukung | |
| Perlindungan Cabang | Apakah proyek menggunakan Perlindungan Cabang? | Tinggi | PAT ( repo atau repo> public_repo ), GITHUB_TOKEN | Didukung (lihat catatan) | pengaturan tertentu hanya didukung dengan PAT pengelola |
| Tes CI | Apakah proyek menjalankan pengujian di CI, misalnya GitHub Actions, Prow? | Rendah | PAT, GITHUB_TOKEN | Didukung | |
| CII-Praktik Terbaik | Apakah proyek telah mendapatkan Lencana Praktik Terbaik OpenSSF (sebelumnya CII) pada tingkat kelulusan, perak, atau emas? | Rendah | PAT, GITHUB_TOKEN | Memvalidasi | |
| Tinjauan Kode | Apakah kode praktik proyek ditinjau sebelum kode digabungkan? | Tinggi | PAT, GITHUB_TOKEN | Memvalidasi | |
| Kontributor | Apakah proyek memiliki kontributor setidaknya dari dua organisasi berbeda? | Rendah | PAT, GITHUB_TOKEN | Memvalidasi | |
| Alur Kerja Berbahaya | Apakah proyek menghindari pola pengkodean berbahaya dalam alur kerja GitHub Action? | Kritis | PAT, GITHUB_TOKEN | Tidak didukung | |
| Alat Pembaruan Ketergantungan | Apakah proyek menggunakan alat untuk membantu memperbarui dependensinya? | Tinggi | PAT, GITHUB_TOKEN | Tidak didukung | |
| kabur | Apakah proyek menggunakan alat fuzzing, misalnya OSS-Fuzz, QuickCheck atau fast-check? | Sedang | PAT, GITHUB_TOKEN | Memvalidasi | |
| Lisensi | Apakah proyek tersebut menyatakan lisensinya? | Rendah | PAT, GITHUB_TOKEN | Memvalidasi | |
| Dipelihara | Apakah proyek tersebut setidaknya berumur 90 hari dan dipelihara? | Tinggi | PAT, GITHUB_TOKEN | Memvalidasi | |
| Ketergantungan yang Disematkan | Apakah proyek mendeklarasikan dan menyematkan dependensi? | Sedang | PAT, GITHUB_TOKEN | Memvalidasi | |
| Kemasan | Apakah proyek membangun dan menerbitkan paket resmi dari CI/CD, misalnya GitHub Publishing? | Sedang | PAT, GITHUB_TOKEN | Memvalidasi | |
| SAST | Apakah proyek menggunakan alat analisis kode statis, misalnya CodeQL, LGTM (tidak digunakan lagi), SonarCloud? | Sedang | PAT, GITHUB_TOKEN | Tidak didukung | |
| Kebijakan Keamanan | Apakah proyek tersebut berisi kebijakan keamanan? | Sedang | PAT, GITHUB_TOKEN | Memvalidasi | |
| Rilis yang Ditandatangani | Apakah proyek menandatangani rilis secara kriptografis? | Tinggi | PAT, GITHUB_TOKEN | Memvalidasi | |
| Izin Token | Apakah proyek mendeklarasikan token alur kerja GitHub sebagai hanya baca? | Tinggi | PAT, GITHUB_TOKEN | Tidak didukung | |
| Kerentanan | Apakah proyek memiliki kerentanan yang belum diperbaiki? Menggunakan layanan OSV. | Tinggi | PAT, GITHUB_TOKEN | Memvalidasi | |
| Webhook | Apakah webhook yang ditentukan dalam repositori memiliki token yang dikonfigurasi untuk mengautentikasi asal permintaan? | Kritis | pengelola PAT ( admin: repo_hook atau admin> read:repo_hook dok | EKSPERIMENTAL |
Untuk melihat informasi rinci tentang setiap pemeriksaan, kriteria penilaiannya, dan langkah-langkah remediasi, lihat halaman dokumentasi pemeriksaan.
Untuk panduan mengenai pemeriksaan yang harus Anda gunakan saat memulai, lihat panduan pemula mengenai pemeriksaan kartu skor.
Otentikasi Dua Faktor (2FA) menambahkan lapisan keamanan ekstra saat masuk ke situs web atau aplikasi. 2FA melindungi akun Anda jika kata sandi Anda dibobol dengan memerlukan bentuk autentikasi kedua, seperti kode yang dikirim melalui SMS atau aplikasi autentikasi, atau menyentuh kunci keamanan fisik.
Kami sangat menyarankan Anda mengaktifkan 2FA di akun penting mana pun yang tersedia. 2FA bukan pemeriksaan Kartu Skor karena GitHub dan GitLab tidak menjadikan data tentang akun pengguna tersebut bersifat publik. Bisa dibilang, data ini harus selalu dirahasiakan, karena akun tanpa 2FA sangat rentan terhadap serangan.
Meskipun ini bukan pemeriksaan resmi, kami mendesak semua pengelola proyek untuk mengaktifkan 2FA guna melindungi proyek mereka dari kompromi.
Ikuti langkah-langkah yang dijelaskan di Mengonfigurasi autentikasi dua faktor
Jika memungkinkan, gunakan salah satu:
Sebagai opsi terakhir, gunakan SMS. Hati-hati: 2FA menggunakan SMS rentan terhadap serangan pertukaran SIM.
Setiap pemeriksaan individu menghasilkan skor 0 hingga 10, dengan 10 mewakili skor terbaik. Scorecard juga menghasilkan skor agregat, yang merupakan rata-rata berdasarkan bobot dari masing-masing cek yang diberi bobot berdasarkan risiko.
Lihat daftar pemeriksaan Scorecard saat ini untuk setiap tingkat risiko pemeriksaan.
Jika Anda mengalami bug, silakan gunakan sistem pelacakan masalah GitHub. Sebelum Anda mengajukan masalah, harap telusuri masalah yang ada untuk melihat apakah masalah Anda sudah tercakup.
Sebelum berkontribusi, harap ikuti Kode Etik kami.
Lihat dokumentasi Berkontribusi untuk panduan tentang cara berkontribusi pada proyek.
Jika Anda ingin menambahkan cek, silakan lihat panduannya di sini.
Jika Anda ingin terlibat dalam komunitas Scorecard atau mempunyai ide yang ingin Anda bicarakan, kami mendiskusikan proyek ini dalam pertemuan Kelompok Kerja Praktik Terbaik OSSF.
| Artefak | Link |
|---|---|
| Forum Pengembangan Kartu Skor | ossf-kartu skor-dev@ |
| Forum Pengumuman Kartu Skor | ossf-kartu skor-umumkan@ |
| Pertemuan Komunitas VC | Tautan ke pertemuan zoom |
| Kalender Pertemuan Komunitas | Biweekly ramah APAC pada hari Kamis pukul 13.00-14.00 Pasifik (Kalender Publik OSSF) Panggilan Video: Zoom LFX Ramah EMEA Setiap 4 hari Senin pukul 07.00-08.00 Pasifik (Kalender Publik OSSF) Panggilan Video: Zoom LFX |
| Catatan Rapat | Catatan |
| Saluran Kendur | #kartu catatan angka |
Pengelola terdaftar di file CODEOWNERS.
Untuk melaporkan masalah keamanan, ikuti petunjuk di sini.
Biweekly ramah APAC pada hari Kamis pukul 13.00-14.00 Pasifik (Kalender Publik OSSF)
Panggilan Video: pembesaran LFX
Ramah EMEA Setiap 4 hari Senin pukul 07.00-08.00 Pasifik (Kalender Publik OSSF)
Panggilan Video: pembesaran LFX
Agenda dan catatan rapat dapat Anda lihat di sini.
Lihat FAQ untuk jawaban atas Pertanyaan Umum tentang Scorecard.
