编译:代码卫士
周二,Linux 基金会下属开源安全基金会 (OpenSSF) 宣布发布“开源项目安全基线(简称 “OSPS 基线”)”初始版本,旨在为开源软件设立最低安全要求。
OSPS 基线旨在通过提供降低漏洞风险并提高项目可信性的最少最佳实践指南,增强开源项目的安全性。OSPS 基线是一份基于OpenSSF和其它组织所发布指南的一份安全清单,列出了任务、工件、流程和配置,被其开发人员描述为与项目共同成长的分层框架。
该基线可助力开发人员了解其他人的安全目标,同时可用于营销目的,毕竟用户更愿意使用认真对待安全的项目。除非有赞助商要求必须满足某个特定的基线级别,所有项目应至少达到第1级别的要求。OSSF将第1级别描述为开源项目的“通用安全门槛”。
OSSF 基线建议拥有大量普通用户的项目满足最高等级第3级别的要求。第1级别包括使用多因素验证 (MFA) 机制,这些要求与项目参与人员以及他们如何为项目做贡献、发布和许可证有关,以及与版本控制和项目文档问题相关。第3级别更多与权限管理、发布和项目文档以及测试有关。
爱立信的首席标准化官 Per Beming 表示,“OSPS基线是增强开源项目安全性的重要工具。通过提供综合性的可操作措施,该安全基线为开源生态系统中的所有利益相关者(制造商、管理员和项目等)提供有效指南,共同承担责任并采取有效措施保护我们所有人都在依赖的开源供应链的安全。”
该OSPS基线虽然由一个特殊利益组织负责,但推荐所有利益相关者对该框架进行优化并推广使用。
原文链接
https://www.securityweek.com/openssf-releases-security-baseline-for-open-source-projects/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
