「Scorecards v2」では対象範囲を拡大し、Googleの提案によるKnow、Prevent、Fixフレームワークに従い、優先順位を付けるための新たなチェックが追加されている。 具体的には、コードをコミットする前に別の開発者によるコードレビューが必須であることを確認できるBranch-Protectionチェック、CI/CDシステムの一部としてFuzzingおよびSASTツールを使用しているかどうかを検出するためのチェック、GitHubトークンをデフォルトで読み取り専用にすることでGitHubワークフローが最小特権の原則に従っていることを確認するToken-Permissions防止チェック、プロジェクト内のバイナリの内容を簡単に確認またはチェックするバイナリアーティファクトチェック、アンチパターンをチェックするFrozen-Depsチェック、依存関係を更新するためにdependa
![オープンソースプロジェクトのリスクスコアを自動生成する「Scorecards v2」がリリース](https://cdn-ak-scissors.b.st-hatena.com/image/square/e31cfbee238c94ac840b3f2c150e65c21ed70a3e/height=288;version=1;width=512/https%3A%2F%2Fcodezine.jp%2Fstatic%2Fimages%2Farticle%2F14485%2F12729_og.jpg)