2020 年,谷歌联合开源安全基金会 (OpenSSF) 推出"Criticality Score",这是一个能够通过具体指标来量化开源项目重要性/关键性的评估工具。这些指标包括开源项目创立时间长度、贡献者数量、提交频率、过去一年的发版数量、过去 90 天内关闭和更新的 issue 数量、回复频率、commit 信息中提到的项目数量以及其他参数。
基于上述指标,只需提供项目的 GitHub 仓库 URL 地址,Criticality Score 就会计算出区间为 0-1 的分数来表示开源项目在此标准下的重要性。
OpenSSF 指出,Criticality Score 的意义在于:
- 为每个开源项目生成“重要性”分数
- 创建开源社区所依赖的重要项目列表
- 使用这些数据来主动改善这些重要项目的安全态势
近日,Criticality Score 发布了重要更新 v2.0,官方称这是一次“大改造”。此版本采用 Go 语言进行完全重写,并且不再依赖 Python。此外还对许多评分指标进行了完善,以及修复错误和增强功能。毕竟 Criticality Score 刚发布时就曾被批评过评分结果不够公正,并且不够准确。
延伸阅读
- 谷歌开源 Scorecards,为开源项目安全性 “打分”