Microsoft incentiva mantenedores de pacotes .NET a revisarem pontuação de segurança no OpenSSF Scorecard
A ferramenta, criada pela Open Source Security Foundation, realiza avaliações automáticas de segurança em repositórios de código aberto, ajudando a verificar a segurança das dependências, e pode ser utilizada em qualquer repositório, permitindo que desenvolvedores avaliem o próprio código.
Após analisar mais de mil repositórios de C# e F#, foram constatadas pontuações médias baixas em vários critérios — algumas possivelmente causadas por erros na execução da ferramenta. Em vez de identificar vulnerabilidades específicas, o Scorecard avalia a “saúde” de um projeto por meio de cerca de 20 verificações, como exigência de revisão de código, padrões de workflows no GitHub Actions, atividade do projeto e presença de dependências fixas. O GitHub é o repositório com maior suporte, embora o Scorecard funcione também com o GitLab.