OpenSFF推出Allstar App助开源专案修复安全性问题

OpenSFF推出GitHub应用程序Allstar，可自动且持续地对GitHub专案，执行安全最佳实践。借由使用Allstar，专案拥有者可以检查储存库安全政策遵守的状况，并且设置必要的强制执行措施，在组织或是专案储存库中的设定和档案更改时，触发执行这些措施，进而降低开源社群的安全风险。

Google发布的Security Scorecards专案在Allstar中扮演重要角色，Security Scorecards是可评估储存库和相依项目安全风险的自动化工具，能够以许多启发式方法进行多种重要的检查，像是专案是否使用分支保护，对构件进行加密签章，或是需要程式码审核等。

用户透过这些分数，可以了解专案的安全状况，而Allstar则从这些分数采取下一阶段行动，供维护人员选择自动执行特定检查，当储存库无法通过特定检查，则Allstar便会自动进行必要的更改来修复问题，简单来说，Security Scorecards可以协助用户评估专案安全状态，而Allstar则可以协助用户实现安全目标。

Allstar会根据安全政策，持续检查GitHub API状态和储存库档案内容，并且在状态不符合政策的时候，强制采取行动来修正问题。官方提到，Allstar能够确保安全状态的连续性，像是当有恶意攻击者突然禁用分支保护，想要在重新启用保护之前进行恶意更改，Allstar能够侦测该行为并且采取行动。

接下来，Allstar还会加入自动相依项目更新，以及冻结相依性等功能。由于开源套件会定期发现和修复安全漏洞，而Allstar可以自动更新专案的相依项目，来排除已知漏洞，另外，跳过审查自动合并新的相依项目版本，是一种攻击手法，而冻结档案和部分固定档案，可以防止受入侵的相依项目进到专案中。

OpenSSF提供一个公用的执行个体，供所有人安装和使用，但是用户也可以创建和执行私人的Allstar执行个体。