开源项目的最佳实践标准OpenSSF/CII
开源安全基金会 (OpenSSF)最佳实践徽章是自由/自由和开源软件 (FLOSS) 项目展示其遵循最佳实践的一种方式。
·
开源安全基金会 (OpenSSF)最佳实践徽章,以前称为核心基础结构计划 (CII) 最佳实践徽章。最佳实践徽章是自由/自由和开源软件 (FLOSS) 项目展示其遵循最佳实践的一种方式,分为及格、银、金三个级别。项目可以自愿自我认证,无需任何费用。徽章的使用者可以快速评估哪些 FLOSS 项目遵循最佳实践,因此更有可能生产出更高质量的安全软件。
最佳实践标准“及格”级别摘要
以下是通过标准的摘要,要求以粗体显示:
- 有一个稳定的网站,上面写着:
- 显式指定 FLOSS 许可证
- 在项目站点上支持 HTTPS
- 记录如何(安全地)安装和运行以及任何 API
- 拥有分布式公共版本控制系统,包括版本之间的更改:
- 使用语义版本控制格式为每个版本指定一个唯一的版本
- 提供每个版本的更改摘要,识别任何已修复的漏洞
- 允许提交、存档和跟踪错误报告:
- 使用标准的开源工具进行有效的构建
- 拥有一个涵盖大部分代码/功能的自动化测试套件,并正式要求对新代码进行新测试
- 自动运行对所有更改的测试,并应用动态检查:
- 拥有了解安全软件和常见漏洞错误的开发人员
- 如果使用加密:
更高级别最佳实践标准摘要
获得及格徽章是一项重大成就;平均而言,只有约10%的追求项目拥有及格徽章。也就是说,一些项目希望满足更严格的标准,许多用户希望项目这样做。除了通过之外,我们还建立了两个更高的级别:白银和黄金。较高的级别加强了一些通过标准,并增加了自己的新标准。
银
以下是白银标准的摘要,要求以粗体显示(有关详细信息,请参阅白银标准的完整列表):
- 使用 DCO 或类似协议
- 定义/记录项目管理
- 如果有人去世,另一个人将拥有必要的访问权限
- “总线系数”为 2 或更高
- 文件安全要求
- 有一个保证案例,解释为什么满足安全要求
- 有一个快速入门指南
- 遵循辅助功能最佳做法
- 选择并遵循编码标准
- 监控外部依赖关系以检测/修复已知漏洞
- 测试具有 80% 以上的语句覆盖率
- 广泛使用的项目版本以加密方式签名
- 检查来自潜在不可信源的所有输入的有效性(使用白名单)
- 使用硬化机制
金
以下是黄金标准的摘要,要求以粗体显示(有关详细信息,请参阅黄金标准的完整列表):
- 至少 2 个不相关的重要贡献者
- 每个文件的版权和许可证
- 使用 2FA
- 所有修改中至少有50%由其他人审查
- 具有可重复的构建
- 使用持续集成
- 报表覆盖率 90%以上
- 分支机构覆盖率 80%+
- 支持安全协议并默认禁用不安全的协议
- 使用 TLS 版本 1.2 或更高版本
- 拥有强化的项目网站、存储库和下载站点BadgeApphttps://bestpractices.coreinfrastructure.org/enhttps://github.com/coreinfrastructure/best-practices-badgehttps://github.com/coreinfrastructure/best-practices-badge
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
已为社区贡献2条内容
所有评论(0)