10 月 23 - 25 日,QCon 上海站即将召开,现在购票,享9折优惠 了解详情
写点什么

OpenSSF 发布开源项目安全基线

  • 2025-04-23
    北京
  • 本文字数:1119 字

    阅读完需:约 4 分钟

OpenSSF 发布开源项目安全基线

为了帮助开源项目维护者保证项目安全,开源安全基金会(OpenSSF)发布了一套基于国际网络安全框架、标准和法规的指南:开源项目安全基线。


OSPS 基线提供了一个分层的安全实践框架,可随着项目成熟度的提高而不断发展。它汇总了来自 OpenSSF 和其他专家组的现有的一些指南,概述了可增强软件开发和消费安全性的任务、流程、工件和配置。


OpenSSF 基线的主要目标是为不同规模的项目和团队的安全需求提供解决方案。基线维护者表示,相比之下,大多数商业或行业认可的框架和标准都是针对大型组织而创建的。他们认识到, OpenSSF 基线有可能与其他开源安全方案重叠,包括 CISA 和 NIST 的方案。尽管如此,他们还是强调了方案由“开源贡献者、维护者和技术领导者”定义的重要性,他们已经在开源项目中并肩工作了数十年。


OpenSSF 认为,遵守安全基线标志着一个项目已采取了一些基本措施来降低出现常见漏洞的风险,可以提高采用者和贡献者对它的信任度。不过,这个工具并不是为了用于比较项目 或作为评分或分级机制。


该基线是 由来自不同组织的维护者组成的团队 创建的。其中一位是目前在安全公司 Sonatype 工作的 Eddie Knight,他解释了他们 如何利用 从广泛采用的 最佳实践徽章、记分卡 和 CLOMonitor 中获得的洞察力。


此外,基线的定义还考虑了欧盟《网络弹性法案》(CRA)和美国国家标准与技术研究院(NIST)《安全软件开发框架》(SSDF)中的要求,以便维护者和开源软件制造商可以依据它来更好地满足监管要求。


OpenSSF 基线按三个“项目成熟度”级别进行组织。没有 “放之四海而皆准”的安全解决方案,用户需要选择最适合自身情况和可用资源的级别。第 1 级是任何拥有任意数量维护者的项目;第 2 级是拥有至少两名维护者和少量用户的项目;第 3 级是拥有大量用户的项目。


基线涵盖不同的安全领域,如访问控制、构建和发布、文档、质量、漏洞管理等。举例来说,访问控制部分重点介绍了针对项目版本系统和 CI/CD 管道的访问控制机制,如遵循最小权限原则分配 CI/CD 权限、要求合作者进行多因素身份验证 等。


Jamie Scott 是 Endor Labs 产品经理、Redis 和 StackRox 的前开源贡献者。他强调了基线可能被滥用的风险,例如期望每个开源项目都选择加入。此外,他还强调,重要的是要理解,开源安全应该是维护者和使用其项目的公司共同承担的责任。因此,“如果你希望看到一个项目成熟,你就有责任帮助它”。


目前尚没有自动化工具可以用来证明项目是否符合基准。建议项目维护者能够自证,如 “截至 2025 年 4 月 31 日,本项目符合 OSPS 基准版本 2025-02-30 第 2 级”。


OpenSSF 将随着时间的推移定期更新基线,以反映经过改进的最新最佳实践。


原文链接:

https://www.infoq.com/news/2025/03/openssf-security-baseline/

2025-04-23 08:004668

评论

发布
暂无评论

web前端培训React 中Router的必备知识点

@零度

前端开发 React

【架构视角】一篇文章带你彻底吃透Spring

潘大壮

spring 后端 springboot 后端开发

我以为自己MySQL够牛逼了,直到看到了Alibaba的面试题,是我不配了。。

Java架构追梦

Java 后端开发 MySQL 运维 程序员面试

Java培训MySQL体系构架、存储引擎和索引结构

@零度

MySQL JAVA开发

与多家机构战略合作,背后彰显PlatoFarm元宇宙龙头的实力

西柚子

npm install xxxx --legacy-peer-deps命令是什么?

华为云开发者联盟

前端 npm install 依赖树 对等依赖关系

划重点,2022 常见的面试题和八股文都为大家总结出来了

Java架构追梦

程序员 java面试 后端开发 Java面试八股文

Java8新特性-Optional

爱好编程进阶

Java 程序员 后端开发

Java中当对象不再使用时,不赋值为null会导致什么后果?

爱好编程进阶

Java 程序员 后端开发

秒云 (元来云志)获邀加入中国开源云联盟,共筑开源生态

MIAOYUN

开源 开源生态 开源中国

低通信量是筛选分布式多方安全计算常用安全协议方案的先决条件

易观分析

安全多方计算 低通信量

原生JavaScript灵魂拷问(二),你能全部答对吗?

战场小包

JavaScript 前端 4月月更

GitHub上超火的阿里调优专家的677页Java性能调优笔记,已让我拿下5个offer

爱好编程进阶

Java 程序员 后端开发

OpenHarmony新增两个分布式能力!快来了解~

科技汇

蒙牛乳业加入星策开源社区,携手推动企业智能化转型建设

星策开源社区

人工智能 机器学习 企业数智化 智能化转型

【高并发】如何使用互斥锁解决多线程的原子性问题?这次终于明白了!

冰河

并发编程 多线程 协程 异步编程 精通高并发系列

JAVA API调用elasticsearch实现基本增删改查

爱好编程进阶

程序员 后端开发

Java-进阶:集合框架1

爱好编程进阶

程序员 后端开发

HDI硬件设备接口介绍

科技汇

蚂蚁三面被挂,幸获内推,历经5轮终于拿到口碑offer

Java架构追梦

java面试 后端开发 程序员面试 大厂Offer

java不使用客户端授权密码直接用账号密码发送带附件的邮件

爱好编程进阶

程序员 后端开发

助力提升研发效能的“黄金三角”

博文视点Broadview

DM 是如何处理 DML 的丨TiDB 工具分享

PingCAP

使用xdebug调试php详细教程

CRMEB

使用APICloud & MobTech SDK 快速实现分享到社交平台功能

YonBuilder低代码开发平台

APP开发 APICloud MobTech袤博科技 社交分享

大数据培训Spark SQL知识点与实战分析

@零度

spark 大数据开发

Hibernate实现CRUD(附项目源码)

爱好编程进阶

Java 程序员 后端开发

聊聊如何在华为云IoT平台进行产品开发

华为云开发者联盟

物联网平台 IoT 华为云 iotda 设备接入

华为云持续快速增长,IaaS市场排名中国第二、全球第五

科技热闻

简述数仓的时间域函数

华为云开发者联盟

数据库 时间 时间戳 GaussDB(DWS) 时间域函数

云电脑的四重守护,安全有谱

天翼云开发者社区

安全 云电脑

OpenSSF 发布开源项目安全基线_软件工程_Sergio De Simone_InfoQ精选文章