2min Devops

Microsoft roept op .NET packages te checken met OpenSSF Scorecard

Microsoft roept op .NET packages te checken met OpenSSF Scorecard

Microsoft vindt dat veel .NET packages verbeterd kunnen worden om de algemene veiligheid van het .NET-ecosysteem op te hogen. Het roept ontwikkelaars op hiervoor de OpenSSF Scorecard van de Open Source Security Foundation (OpenSSF) te gebruiken.

Microsoft baseert zijn advies voor het verbeteren van hun .NET packages op een eigen onderzoek van meer dan duizend C#- en F# repositories. Uit dit onderzoek blijkt dat veel Populaire .NET packages lage scores hebben als het gaat om de gezondheidsstatus van de packages. Dit kan mogelijk een impact hebben op de algemene veiligheid van het hele .NET ecosysteem.

OpenSSF Scorecard

Voor het checken van hun .NET packages, en sinds kort ook .NET NuGet packages, kunnen ontwikkelaars volgens de techgigant de tool OpenSSF Scorecard van de The Open Source Security Foundation (OpenSSF) gebruiken. Deze tool draait geheel geautomatiseerde security assesments in code repositories.

De tool kijkt niet direct naar codefouten die kwetsbaarheden veroorzaken, maar naar de algemene gezondheidsstatus van een project vanuit securityperspectief. Hiervoor voert het ongeveer 20 verschillende checks uit voor verschillende factoren.

Uitgevoerde checks

Onder meer wordt gekeken of code reviews nodig zijn voordat pull requests worden samengevoegd, of er gevaarlijke patronen in GitHub Action-workflows zijn, hoe actief een bepaald project is en of er vastgepinde dependencies zijn; dependencies die aan specifieke versies van de code zijn vastgezet en, liefst, geverifieerd zijn met een hash. Een andere check die de tool uitvoert, is of een project cryptografisch releases ondertekent.

De OpenSSF Scorecard ondersteunt tegenwoordig ook, zoals hierboven al aangegeven, meer opties voor .NET NuGet-packages. Recente updates omvatten onder meer checks op vastgepinde dependencies bij het herstellen van packages door een lock file en Central Package Management te gebruiken.

GitHub is de best ondersteunde repository host, maar de OpenSSF Scorecard werkt volgens Microsoft ook met GitLab.

Lees ook: .NET 9 al beschikbaar in preview Microsoft Visual Studio