Scorecards：开源项目安全性评分应用-低调大师

Scorecards：开源项目安全性评分应用

2025-02-27 163

Scorecards 是谷歌开发，由开源安全基金会 (OpenSSF) 开源的首批项目之一，其目标是为开源项目自动生成一个 "安全分数"，以帮助用户确定用例的信任度、风险和安全态势。

Scorecards 定义了初始评估标准，它被用于以一种完全自动化的方式为开源项目生成一个评分卡。评分卡的每项检查都可以被控制是否启用，部分评估指标包括定义良好的安全策略、代码审查流程以及使用模糊测试和静态代码分析工具的持续测试覆盖率。每项安全检查都会返回一个布尔值以及信任度分数。

随着 Scorecards 被广泛使用，谷歌会通过 OpenSSF 的社区贡献来改进这些指标。

微信关注我们

原文链接：https://www.oschina.net/news/336054

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

生成式 AI 时代，软件供应链安全面临更多挑战

AI大模型不仅能够文生图、文生视频、人机对话等，还能够帮助开发人员写代码，但这又出现另一个问题，ChatGPT产生的代码也可能存在漏洞。可以说，全球软件供应链安全正面临着更大的挑战，AI爆发、大量应用程序的出现以及企业内部应用AI等诸多新事物无不考验着软件开发者的抗风险能力。 JFrog公司研究团队在全球软件供应链发展报告中指出，AI大模型不仅是前端的内容生成，还包括模型、数据集、Python脚本等在容器环境里的运行，这就需要后端软件供应链的支撑。根据JFrog Catalog数据，Docker 和npm 是对包类型贡献最大的。软件包的数量不断增长，从而形成了一个日益庞大的软件供应链。垃圾邮件、恶意软件包和相关风险是新软件包和库中的自然组成部分，新版本的快速引入需要付出大量努力才能正确管理。调研显示，92%的专业人士认为，他们的企业至少有一个解决方案监测恶意的开源包，89%的受访者表示，他们已经采用了OpenSSF SLSA的框架。这个框架为谷歌主导，是由开源软件安全基金会（Open Source Security Foundation）推广的一个软件供应链安全标准，该标准目前在...

2025-02-27

170

微软于 2024 年 12 月发布了 Phi-4，这是一款在同类产品中表现卓越的小型语言模型（SLM）。今日，微软宣布为 Phi-4 家族推出两款全新模型：Phi-4 多模态（Phi-4-multimodal）和 Phi-4 迷你（Phi-4-mini）。 Phi-4 多模态模型是微软首款集成语音、视觉和文本处理的统一架构多模态语言模型，参数量达 56 亿。在多项基准测试中，Phi-4 多模态的表现优于其他现有的先进全模态模型，例如谷歌的 Gemini 2.0 Flash 和 Gemini 2.0 Flash Lite。在语音相关任务中，Phi-4 多模态在自动语音识别（ASR）和语音翻译（ST）方面超越了 WhisperV3 和 SeamlessM4T-v2-Large 等专业语音模型。微软表示，该模型在 Hugging Face OpenASR 排行榜上以 6.14% 的词错误率位居榜首。在视觉相关任务中，Phi-4 多模态在数学和科学推理方面表现出色。在文档理解、图表理解、光学字符识别（OCR）和视觉科学推理等常见多模态能力方面，该模型与 Gemini-2-Flash-li...

2025-02-27

228

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。