OpenSSF 发布开源项目安全基准指南

概述

OpenSSF（开源安全基金会）发布了一套基于国际网络安全框架、标准和法规的指南，名为《开源项目安全基准》（Open Source Project Security Baseline，简称 OSPS Baseline）。该基准旨在帮助开源项目维护者提升项目安全性，适用于不同规模和成熟度的项目。

主要目标

OSPS Baseline 的主要目标是为不同规模的项目和团队提供安全需求的解决方案。与大多数商业或行业标准不同，这些标准通常是为大型组织设计的，而 OSPS Baseline 更关注开源项目的特殊需求。它由开源贡献者、维护者和技术领导者共同制定，强调开源社区的实践经验。

基准特点

1. 分层框架：根据项目的成熟度，提供三个级别的安全实践框架：

   • 级别 1：适用于任何维护者数量的项目。
   • 级别 2：适用于至少有两名维护者和少量用户的项目。
   • 级别 3：适用于拥有大量用户的项目。
2. 广泛覆盖：基准涵盖多个安全领域，包括访问控制、构建与发布、文档、质量和漏洞管理等。
3. 合规性支持：基准考虑了欧盟《网络弹性法案》（CRA）和美国国家标准与技术研究院（NIST）的《安全软件开发框架》（SSDF），帮助项目遵守法规要求。

具体实践

• 访问控制：强调最小权限原则，要求为 CI/CD 管道分配权限时遵循该原则，并要求为协作者启用多因素认证。
• 文档与质量：提供详细的文档要求和质量管理建议。
• 漏洞管理：包括漏洞检测与修复的最佳实践。

与其他安全倡议的关系

OSPS Baseline 可能与 CISA、NIST 等其他开源安全倡议有所重叠，但其独特之处在于由开源社区主导制定。它旨在补充而非替代现有的安全工具和标准，如 OpenSSF Scorecard 和 Best Practices Badge。

使用注意事项

• 非评分工具：基准不应用于项目比较或评分，而是作为提升安全性的指导。
• 自认证机制：目前尚无自动化工具验证项目是否符合基准，建议维护者使用自认证声明。

未来更新

OpenSSF 将定期更新基准，以反映最新的最佳实践。这一动态更新机制确保基准始终与行业发展和安全需求保持一致。

社区反馈与责任

• 潜在误用风险：一些专家担心基准可能被误用，例如要求所有开源项目都必须遵循。
• 共同责任：开源安全是维护者与使用项目的公司之间的共同责任，企业也应帮助项目提升安全成熟度。

总结

OSPS Baseline 为开源项目提供了一套灵活且实用的安全指南，帮助项目在不同阶段提升安全性。它不仅考虑了开源社区的实际需求，还支持法规合规性，是开源项目安全管理的宝贵资源。