软件供应链健康度评估之scorecard

文章预览

Scorecard介绍 Scorecard是一个自动化工具，评估开源项目的健康度。Scorecard通过评估与开源项目安全性相关的一系列指标项，每项10分。可以使用这些评分来了解需要改进的具体领域，以增强项目的安全性。同时，还可以评估依赖项带来的安全风险，如接受这些风险、评估替代方案或与维护者合作进行改进。 注意： 由于scorecard项目不断迭代更新，检测规则也在变化，本文有效时间为： 2024年08月06日前后 支持Scorecard项目 Scorecard已在数千个项目上运行，以监控和跟踪安全指标。主要使用Scorecard的项目包括： Tensorflow Angular Flutter sos.dev deps.dev deps fastjson results 查看项目的评分 要查看Scorecard定期扫描的项目评分，请访问webviewer，并替换占位符文本为平台、用户/组织和存储库名称：https://scorecard.dev/viewer/?uri= .com/ / 例如： https://scorecard.dev/viewer/?uri=github.com/alibaba ………………………………