OpenSSF推出Allstar GitHub应用

发布时间：2025-09-23 18:50

作者：Mike Maraya、Jeff Mendoza

我们很高兴地发布 Allstar[1]，这是一个 GitHub 应用程序 [2]，为 GitHub 项目提供自动化的持续安全最佳实践。使用 Allstar，所有者可以检查安全策略的遵守情况，设置所需的实施操作，并在组织或项目仓库中的设置或文件更改触发时持续实施这些实施。Allstar 将帮助开源社区主动降低安全风险，同时尽可能少地增加摩擦。

Allstar 是安全记分卡 [3]（Security Scorecards）的伙伴，安全记分卡是评估仓库及其依赖项风险的自动化工具。安全记分卡检查许多重要的探索性步骤（目前为 18 个 [4]），例如项目是否使用分支保护、是否使用加密方式签署发布工件，或者是否需要代码审查。从这些评分中，用户可以了解需要改进的具体领域，以加强其项目的安全态势。从这里开始，Allstar 进行下一步，并允许维护人员选择自动执行特定的检查。如果你的仓库在启用的某个检查中失败，Allstar 会介入，进行必要的更改以纠正该问题，从而避免常规手工修复的额外工作。简而言之，安全记分卡帮助你衡量当前的安全态势与想要达到的目标；Allstar 帮助你做到这一点。

连续自动执行

Allstar 的工作方式是不断检查预期的 GitHub API 状态和仓库文件内容（仓库设置、分支设置、工作流设置），并在预期的状态与策略不匹配时实施操作（存档问题、更改设置）。实施操作的持续性保护了人们可能没有注意到的隐蔽攻击：例如，如果有人为了在重新启用保护之前提交恶意更改而临时禁用分支保护，Allstar 将检测并响应策略违反。

OpenSSF 运行一个任何人都可以安装和使用的 Allstar 实例。但是，出于安全性或自定义的原因，你可以创建并运行自己的 Allstar 实例。

用户定义的实施操作

Allstar 允许你选择对组织、仓库和已启用的特定策略有意义的实施操作。以下实施操作现在可供使用，并计划在未来提供更多操作：

记录安全策略遵守失败，不添加额外操作打开一个 GitHub 问题将修改后的 GitHub 策略设置还原为匹配原来的 Allstar 配置

可用的安全策略实施

Allstar 目前只执行了有限数量的安全政策检查，并计划在未来几个月实施更多的政策。以下是目前为止可用的内容：

分支保护

在合作者将更改推入仓库中的某个分支之前，分支保护 [5] 会对需求进行设置。Allstar 可以执行以下要求：

要求对拉请求的批准，这有助于满足软件产品供应链级别（ SLSA [6]）的代码审查需求设置多个所需的拉请求批准撤销陈旧的拉请求批准阻止强推

安全策略

为负责任的漏洞公开而定义的策略有助于保护项目的用户，确保你有机会在公开之前纠正问题。Allstar 可以强制安全策略文件（SECURITY.md）的存在。

外部合作者管理员

Allstar 可以强制要求对仓库具有管理员权限的用户是所属组织的成员。它还可以禁止外部合作者的推送访问。

二进制制品

仓库中的二进制制品是人们无法准确审查的威胁向量。Allstar 会检测到这些问题，如果发现就会提醒用户。

接下来是什么

以下是我们希望在未来的版本中构建的一些实施操作：

自动更新依赖

在开源包中经常发现并修复安全漏洞。自动更新依赖项有助于将已知的漏洞排除在项目之外。Allstar 将能够确保通过 Dependabot[7] 或 Renovate[8] 在仓库中启用自动依赖更新。

冻结依赖

在没有审查的情况下自动合并新的依赖项版本是一个攻击向量。一个锁文件或类似的特定于语言的固定文件可以防止一个受损的依赖项发布进入你的项目。Allstar 将能够检测并强制执行特定于语言的依赖项锁定的存在。

参与

Allstar 仍然处于开发的早期阶段，所以我们欢迎采用和社区反馈。你可以开始使用 [9]Allstar，并通过提交问题 [10] 和 / 或拉新添加的请求 [11] 来帮助改进它。我们期待推出更多的实施操作；与此同时，采取一些简单的步骤，如强制代码审查和设置分支保护，可以在防止供应链攻击方面产生显著差异。把这些基本的行动结合起来，可以帮助提高开源软件的安全标准。

参考资料

[1]

Allstar: https://github.com/ossf/allstar

[2]

GitHub 应用程序: https://docs.github.com/en/developers/apps/getting-started-with-apps/about-apps#about-github-apps

[3]

安全记分卡: https://github.com/ossf/scorecard

[4]

18 个: https://github.com/ossf/scorecard/blob/main/docs/checks.md#check-documentation

[5]

分支保护: https://docs.github.com/en/github/administering-a-repository/defining-the-mergeability-of-pull-requests/about-protected-branches

[6]

SLSA: https://security.googleblog.com/2021/06/introducing-slsa-end-to-end-framework.html

[7]

Dependabot: https://github.blog/2020-06-01-keep-all-your-packages-up-to-date-with-dependabot/

[8]

Renovate: https://github.com/renovatebot/renovate

[9]

使用: https://github.com/ossf/allstar/blob/main/quick-start.md

[10]

问题: https://github.com/ossf/allstar/issues

[11]

请求: https://github.com/ossf/allstar/pulls

点击【阅读原文】阅读网站原文。

中国 KubeCon + CloudNativeCon + Open Source Summit 虚拟大会

12 月 9 日至 10 日

https://www.lfasiallc.com/kubecon-cloudnativecon-open-source-summit-china/

赞助计划书即将出炉

Linux 基金会诚意邀您参与：

软件材料清单（SBOM）准备情况调查

联系关于 Linux 基金会

Linux 基金会是非营利性组织，是技术生态系统的重要组成部分。

Linux 基金会通过提供财务和智力资源、基础设施、服务、活动以及培训来支持创建永续开源生态系统。在共享技术的创建中，Linux 基金会及其项目通过共同努力形成了非凡成功的投资。请长按以下二维码进行关注。

本文分享自微信公众号 - LFAPAC（gh_8442c14fe49e）。
如有侵权，请联系 [email protected] 删除。
本文参与 “OSC 源创计划”，欢迎正在阅读的你也加入，一起分享。

网址：OpenSSF推出Allstar GitHub应用 https://m.mxgxt.com/news/view/1811915

⬅️上一篇：王骁领衔新剧《凡人歌》开播，直击

➡️下一篇：大红没有让他迷失，却因为ssf的