Linux中國

開源安全基金會(OpenSSF):回顧和展望

開源安全基金會OpenSSF)正式 成立於 2020 年 8 月 3 日。本文將討論 OpenSSF 創立的初衷,它成立之初六個月內的成就,以及它未來的願景。

(LCTT 校註:原文發表於 2 年前, 但時至今日仍然有一些值得了解的信息。)

全世界都在推行開源軟體(OSS)理念,所以開源軟體的安全也至關重要。為了提升開源軟體的安全性,業界已經做了大量工作,並取得了一些成果。這些成果包括:Linux 基金會的 核心基礎設施計劃 Core Infrastructure Initiative (CII)、GitHub 安全實驗室的 開源安全聯盟 Open Source Security Coalition (OSSC)和由谷歌以及其他公司創立的 聯合開源軟體計劃 Joint Open Source Software Initiative (JOSSI)。

顯然,如果這些成果合為一體,軟體行業將發展得更加順利。這三項成果在 2020 年合併為「旨在促進開源軟體安全性的、由各行業巨頭主導的跨行業聯盟」。

OpenSSF 的確受益於這種「跨行業聯盟」;它有幾十個成員,(按字母順序)包括 Canonical、 GitHub、谷歌、IBM、英特爾、微軟和紅帽。聯盟的理事會成員還包括安全社區個人代表,這些個人代表是那些不能以企業名義作為聯盟成員的個人。該聯盟也創造了一些便於人們合作的組織結構:建立一些活躍的工作組,這種工作組確定(並公布)它存在的價值,其中的成員應當就該組織的技術願景形成一致意見。

但是這並不重要,除非它們有實際成果。當時雖然處於早期,它們也確實取得了一些成果。它們發布了:

  • 安全軟體開發基礎課程:在 edX 平台上有 3 門免費課程,旨在教授軟體開發人員軟體安全方面的知識。這些課程注重實際操作,任何開發人員都可以較輕鬆地學習,而不是那些需要耗費大量資源的理論或案例。開發人員也可以付費參加測試,從而獲得認證,表明自己掌握了這些課程地內容。
  • 安全評分卡:為開源項目自動生成「安全分數」,幫助用戶進行信任、風險和安全方面的決策。
  • 關鍵性分數:基於一些參數,為開源項目自動生成關鍵性分數。臨界分數可以讓人們對世界上最重要的開源項目有更好的理解。
  • 安全度量儀錶盤:這是較早時候發布的成果,它結合安全評分卡、CII 最佳實踐和其他數據來源,提供與 OSS 項目有關的安全和支持信息的儀錶盤。
  • OpenSSF CVE 基準測試:基準測試由超過 200 個歷史上的 JavaScript/TypeScript 漏洞(CVE)的脆弱代碼和元數據組成。這將幫助安全團隊評估市場上的各種安全工具,使他們能夠用真實的代碼庫(而不是合成的測試代碼)確定誤報和漏報率。
  • OWASP 安全知識框架:與 OWASP 的合作成果,它是一個知識庫,包含了帶檢查清單的項目和使用多種編程語言的最佳代碼樣例。它還提供針對開發者如何使用特定的語言編寫安全代碼的培訓材料,以及用於實際操作的安全實驗室。
  • 2020 年自由/開源軟體貢獻者調查報告:OpenSSF 和 LISH 發布了一份報告,其中詳細說明了對開源軟體貢獻者的調查結果,並以此為依據,研究和確定提高 OSS 安全性和可持續性的方法。一共調查了 1200 名受訪者。

現有的 CII 最佳實踐徽章 項目已經與 OpenSSF 合併,將繼續升級。現在項目有很多中文譯者,翻譯為斯瓦希里語的工作也在進行中,項目也進行了很多小改進,詳細闡明獲得徽章的要求。

2020 年 11 月舉行的 OpenSSF 大會討論了 OpenSSF 正在進行中的工作。最近,OpenSSF 有這些工作組:

  • 漏洞披露
  • 安全工具
  • 安全最佳實踐
  • 對開源項目安全漏洞的識別(重點關注指標儀錶盤)
  • 對關鍵項目的保障
  • 數字身份認證

除了持續更新已發布的項目,未來可能的工作還包括:

  • 為減少重複工作,在多種技術指標中確定哪些是重複和關聯的安全需求。這就是作為領導者與 OWASP 協作開發,也稱為 通用需求枚舉 Common Requirements Enumeration (CRE)。CRE 旨在使用一種公共主題標識符,將標準和指南的各個部分聯繫起來,這種公共主題標識符的作用是令標準和方案制定者高效工作,令標準使用者能搜索到需要的信息,從而使雙方對網路安全有相同的理解。
  • 建一個網站,提供對安全度量儀錶盤的免安裝訪問。再次強調,這將會提供各種來源(包括安全計分卡和 CII 最佳實踐)的數據的簡單展示。
  • 開發對關鍵 OSS 項目的識別功能。哈佛大學和 LF 已經做過一些識別關鍵 OSS 項目的工作。未來一年內,他們會改進方法,添加新的數據來源,從而更好地進行鑒別工作。
  • 資助一些關鍵的 OSS 項目,提高它們的安全性。預期將關注那些財力不足的項目,幫助這些項目提升整體性能。
  • 識別和實現已改進和簡化的技術,用於數字簽名的提交和對身份的校驗。

跟所有的 Linux 基金會項目一樣,OpenSSF 的工作是由其成員決定的。如果你對大家所依賴的 OSS 安全有興趣,你可以訪問 OpenSSF 網站並以某種方式加入它們。參與的最好方式是出席工作組會議——會議每隔一周就舉行,而且非常隨意。通過合作,我們可以有所作為。欲了解更多信息,可以訪問:

https://openssf.org

作者:David A. Wheeler Linux 基金會開源供應鏈安全總監

本文 首次發表於 Linux 基金會網站

via: https://www.linux.com/news/open-source-security-foundation-openssf-reflection-and-future/

作者:The Linux Foundation 選題:lujun9972 譯者:cool-summer-021 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的電子郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國