开源安全基金会 （OpenSSF）最佳实践徽章，以前称为核心基础结构计划 （CII） 最佳实践徽章。最佳实践徽章是自由/自由和开源软件 （FLOSS） 项目展示其遵循最佳实践的一种方式，分为及格、银、金三个级别。项目可以自愿自我认证，无需任何费用。徽章的使用者可以快速评估哪些 FLOSS 项目遵循最佳实践，因此更有可能生产出更高质量的安全软件。

最佳实践标准“及格”级别摘要

以下是通过标准的摘要，要求以粗体显示：

• 有一个稳定的网站，上面写着：
  • 它的作用
  • 如何获取
  • 如何提供反馈
  • 如何贡献和喜好的风格
• 显式指定 FLOSS 许可证
• 在项目站点上支持 HTTPS
• 记录如何（安全地）安装和运行以及任何 API
• 拥有分布式公共版本控制系统，包括版本之间的更改：
  • 使用语义版本控制格式为每个版本指定一个唯一的版本
  • 提供每个版本的更改摘要，识别任何已修复的漏洞
• 允许提交、存档和跟踪错误报告：
  • 确认/响应错误和增强请求，而不是忽略它们
  • 拥有安全、记录的漏洞报告流程
  • 在 14 天内做出响应，并在 60 天内修复漏洞（如果漏洞是公开的）
• 使用标准的开源工具进行有效的构建
  • 启用（并修复）编译器警告和类似 lint 的检查
  • 运行其他静态分析工具并修复可利用的问题
• 拥有一个涵盖大部分代码/功能的自动化测试套件，并正式要求对新代码进行新测试
• 自动运行对所有更改的测试，并应用动态检查：
  • 运行内存/行为分析工具（sanitizers/Valgrind等）
  • 对代码运行模糊测试器或 Web 扫描程序
• 拥有了解安全软件和常见漏洞错误的开发人员
• 如果使用加密：
  • 使用公共协议/算法
  • 不要重新实现标准功能
  • 使用开源加密
  • 使用保持安全的密钥长度
  • 不要使用已知损坏或已知弱的算法
  • 使用具有前向保密性的算法
  • 使用密钥拉伸算法使用迭代、加料的哈希存储任何密码
  • 使用加密随机数源

更高级别最佳实践标准摘要

获得及格徽章是一项重大成就;平均而言，只有约10%的追求项目拥有及格徽章。也就是说，一些项目希望满足更严格的标准，许多用户希望项目这样做。除了通过之外，我们还建立了两个更高的级别：白银和黄金。较高的级别加强了一些通过标准，并增加了自己的新标准。

银

以下是白银标准的摘要，要求以粗体显示（有关详细信息，请参阅白银标准的完整列表）：

• 使用 DCO 或类似协议
• 定义/记录项目管理
• 如果有人去世，另一个人将拥有必要的访问权限
• “总线系数”为 2 或更高
• 文件安全要求
• 有一个保证案例，解释为什么满足安全要求
• 有一个快速入门指南
• 遵循辅助功能最佳做法
• 选择并遵循编码标准
• 监控外部依赖关系以检测/修复已知漏洞
• 测试具有 80% 以上的语句覆盖率
• 广泛使用的项目版本以加密方式签名
• 检查来自潜在不可信源的所有输入的有效性（使用白名单）
• 使用硬化机制

金

以下是黄金标准的摘要，要求以粗体显示（有关详细信息，请参阅黄金标准的完整列表）：

• 至少 2 个不相关的重要贡献者
• 每个文件的版权和许可证
• 使用 2FA
• 所有修改中至少有50%由其他人审查
• 具有可重复的构建
• 使用持续集成
• 报表覆盖率 90%以上
• 分支机构覆盖率 80%+
• 支持安全协议并默认禁用不安全的协议
• 使用 TLS 版本 1.2 或更高版本
• 拥有强化的项目网站、存储库和下载站点BadgeApphttps://bestpractices.coreinfrastructure.org/enhttps://github.com/coreinfrastructure/best-practices-badgehttps://github.com/coreinfrastructure/best-practices-badge