“CII最佳实践徽章,特别是一个金色徽章,表明一个OSS项目已经实施了大量的良好实践,以保持项目的可持续发展,防止漏洞进入他们的软件,并在发现漏洞时解决漏洞。”——David A. Wheeler,开源供应链安全(Open Source Supply Chain Security)总监
开源软件(Open source software,OSS)现在被许多组织广泛使用。但随着这种流行,这意味着OSS的安全性现在比以往任何时候都更加重要。CII最佳实践徽章项目——包括其排名第一的“金章”徽章——有助于提高安全性。
2020年6月,两个不同的项目获得了金章:Linux内核和curl。两者都受到广泛的依赖,但在许多其他方面,它们又截然不同。Linux内核有大量的开发人员,作为内核,它必须直接与各种硬件交互。Curl的开发人员要少得多,而且是一个用户级应用程序。他们加入了其他带有金章的项目,包括Zephyr内核和CII最佳实践徽章应用程序本身。这些截然不同的项目成功地赢得了一枚金章,从而证明了它们对安全的承诺。它还表明,这些标准甚至可以应用于这些根本不同的程序。
但这些徽章是什么?Linux基金会(LF)核心基础设施倡议(Core Infrastructure Initiative,CII)最佳实践徽章是开放源码软件(OSS)项目展示它们遵循最佳实践的一种方式。这些徽章可以让其他人快速评估哪些项目遵循了最佳实践,并且更有可能产生更高质量的安全软件。它还帮助OSS项目找到可以改进的地方。参与徽标项目的项目超过3000个,数量与日俱增。
有三个级别的徽章:合格passing)、银(silver),和金(gold)。每个级别都要求OSS项目满足一组标准;银和金需要达到包括之前级别的要求。每个级别都需要OSS项目的努力,但其结果是减少了项目和使用该项目软件的组织的漏洞风险。
“合格”级别包括了运行良好的OSS项目通常已经做了什么,并将66个标准分为6个类别。例如,合格级别要求项目公开声明如何向项目报告漏洞,在添加功能时添加测试,以及使用静态分析来分析软件的潜在问题。获得“合格”标志是一种成就,因为尽管许多项目都能满足任何特定的标准,但满足所有要求往往需要对任何特定项目进行一些改进。截至2020年6月14日,共有3195个参与项目,其中443个获得了合格徽章。
银级和金级徽章的要求更高。银徽章设计得比较难,但对于一个人的项目是可能的。以下是银徽章要求的例子(除满足合格徽章的要求之外):
如果至少有一个FLOSS工具可以用所选语言测量这个标准,那么项目必须有提供至少80%语句覆盖率的FLOSS自动化测试套件。
项目结果必须检查来自潜在不可信来源的所有输入,以确保它们是有效的(一个白名单),如果对数据有任何限制,则拒绝无效的输入。
金徽章增加了额外的要求。以下是有关金徽章的例子(除满足银徽章的要求之外):
项目必须有2个或更大的“bus factor”(“bus factor”是关于项目由于开发人员必须突然从项目中消失,在缺乏知识或有能力的人员情况下,使到项目停滞的项目成员最小数量)。
在发布之前,项目必须有至少50%的修改建议由作者以外的人进行评审。
项目必须有可复制的构建。
项目网站、资源库(如果可以通过web访问)和下载站点(如果不同)必须包含具有非允许值的关键强化头文件。
在过去,LF专注于使项目达到合格水平,因为即使没有达到合格水平的项目也有更高的风险。但是很多项目都是被广泛依赖的,或者对于安全来说是特别重要的,我们希望看到他们获得更高级别的徽章。
当然,金章并不意味着现有代码中没有漏洞,或者不可能改进他们的开发过程。人生难得完美。但是CII最佳实践徽章,特别是金徽章,表明一个OSS项目已经实施了大量的良好实践,以保持项目的可持续性,防止漏洞进入他们的软件,并在发现漏洞时解决漏洞。项目采取了许多这样的步骤来赢得一个金章,这是一件好事。
我们希望其他项目也能受到启发,去追求并赢得一个金章。当然,真正的目标不是一个徽章——真正的目标是让我们的软件更加安全。但是好的实践可以帮助使我们的软件更加安全,我们希望赞扬和鼓励拥有好的实践的项目。
有关最佳实践徽章的更多背景信息,请参见“2019年核心基础设施倡议(CII)最佳实践徽章”。
https://events19.linuxfoundation.org/wp-content/uploads/2018/07/cii-bp-badge-2019-03.pdf
OSS项目可以去CII最佳实践徽章网站,以开始获取徽章的过程。如果你正在考虑使用一些OSS,我们鼓励你检查该网站,看看哪些项目已经赢得了徽章。
https://bestpractices.coreinfrastructure.org/
希望了解更多信息的人可以联系David A. Wheeler(dwheeler@linuxfoundation.org),他是Linux基金会的开源供应链安全主管。
点击【阅读原文】阅读网站原文。
联系关于Linux基金会
Linux基金会是非营利性组织,是技术生态系统的重要组成部分。
Linux基金会通过提供财务和智力资源、基础设施、服务、活动以及培训来支持创建永续开源生态系统。在共享技术的创建中,Linux基金会及其项目通过共同努力形成了非凡成功的投资。请长按以下二维码进行关注。
本文分享自微信公众号 - LFAPAC(gh_8442c14fe49e)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
