从沙箱或孵化状态毕业,或者作为一个新项目加入作为一个毕业项目,项目必须符合孵化阶段标准以及:
- 有来自至少两个机构的提交者。
- 已经实现并维护了核心基础结构计划(CII)的最佳实践徽章。
- 采用CNCF行为准则。
- 明确定义项目治理和提交者流程。这最好在GOVERNANCE.md文件中进行,并引用OWNERS.md文件显示当前和荣誉提交者。
- 至少在主要仓库提供项目采用者的公开列表(例如,ADOPTERS.md文件或项目网站上的徽标)。
- 获得TOC的绝对多数选票进入毕业阶段。如果项目能够表现出足够的成熟度,项目可以尝试直接从沙箱移动到毕业。项目可以无限期地保持在孵化状态,但通常预计在两年内毕业。
这里介绍一下其中的核心基础结构计划(CII)的最佳实践徽章。
CII最佳实践徽章计划
Linux基金会(LF)的核心基础设施计划(Core Infrastructure Initiative,CII)最佳实践徽章是Free/Libre和开源软件(FLOSS)项目用于表明它们遵循最佳实践的一种方式。项目可以自愿进行自我认证,通过使用此Web应用程序来解释他们如何遵循每种最佳实践。CII最佳实践徽章的灵感来自GitHub项目众多可获得的徽章系统。徽章的使用者可以快速评估哪些FLOSS项目遵循最佳实践,因而更有可能生成更高质量的安全软件。
最佳实践标准“合格”("passing")级别摘要
-
有一个稳定的网站,说名:
- 它做什么
- 如何获得
- 如何提供反馈
- 如何贡献和首选风格
- 明确指定FLOSS许可证
- 项目网站支持HTTPS
- 文档记录如何安装和运行(安全地)以及任何API
-
有分布式公共版本控制系统,包括版本之间的变化:
- 使用语义版本控制格式为每个发布提供唯一版本
- 提供每个发布的更改摘要,识别任何已修复的漏洞
-
允许提交、存档和跟踪错误报告:
- 确认/响应错误和增强请求,而不是忽略它们
- 有安全的、记录在案的流程来报告漏洞
- 在14天内回复,并在60天内修复漏洞,如果漏洞是公开的
-
使用标准的开源工具作有效的构建
- 启用(并修复)编译器警告和类似lint的检查
- 执行其他静态分析工具并修复可被攻击利用的问题
- 拥有涵盖大部分代码/功能的自动化测试套件,并正式要求对新代码进行新的测试
-
自动运行所有更改的测试,并应用动态检查:
- 执行内存/行为分析工具(sanitizers/Valgrind等)
- 执行模糊测试器(fuzzer)或Web扫描程序
- 有开发者了解安全软件和常见漏洞错误
- 如果使用加密:
-
使用公共协议/算法
- 不要重新实现标准功能
- 使用开源加密技术
- 使用保持安全的密钥长度
- 不要使用已知损坏或已知弱算法
- 使用具有前向保密性的算法
- 使用密钥拉伸算法,使用迭代、加盐和哈希值存储任何密码
- 使用加密随机数源
Kubernetes的最佳实践徽章
Prometheus的最佳实践徽章
Envoy的最佳实践徽章
2019年KubeCon + CloudNativeCon中国论坛提案征集(CFP)现已开放
KubeCon + CloudNativeCon 论坛让用户、开发人员、从业人员汇聚一堂,面对面进行交流合作。与会人员有 Kubernetes、Prometheus 及其他云原生计算基金会 (CNCF) 主办项目的领导,和我们一同探讨云原生生态系统发展方向。
在中国开源峰会上,与会者将共同合作及共享信息,了解最新和最有趣的开源技术,包括 Linux、容器、云技术、网络、微服务等;并获得如何在开源社区中导向和引领的信息。
大会日期:
- 提案征集截止日期:太平洋标准时间 2 月 15 日,星期五,晚上 11:59
- 提案征集通知日期:2019 年 4 月 1 日
- 会议日程通告日期:2019 年 4 月 3 日
- 幻灯片提交截止日期:6 月 17 日,星期一
- 会议活动举办日期:2019 年 6 月 24 至 26 日
2019年KubeCon + CloudNativeCon + Open Source Summit China赞助方案出炉啦
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。