开源安全基金会（OpenSSF）：回顾和展望

开源安全基金会（OpenSSF）正式 成立于 2020 年 8 月 3 日。本文将讨论 OpenSSF 创立的初衷，它成立之初六个月内的成就，以及它未来的愿景。

（LCTT 校注：原文发表于 2 年前， 但时至今日仍然有一些值得了解的信息。）

全世界都在推行开源软件（OSS）理念，所以开源软件的安全也至关重要。为了提升开源软件的安全性，业界已经做了大量工作，并取得了一些成果。这些成果包括：Linux 基金会的 核心基础设施计划 Core Infrastructure Initiative （CII）、GitHub 安全实验室的 开源安全联盟 Open Source Security Coalition （OSSC）和由谷歌以及其他公司创立的 联合开源软件计划 Joint Open Source Software Initiative （JOSSI）。

显然，如果这些成果合为一体，软件行业将发展得更加顺利。这三项成果在 2020 年合并为“旨在促进开源软件安全性的、由各行业巨头主导的跨行业联盟”。

OpenSSF 的确受益于这种“跨行业联盟”；它有几十个成员，（按字母顺序）包括 Canonical、 GitHub、谷歌、IBM、英特尔、微软和红帽。联盟的理事会成员还包括安全社区个人代表，这些个人代表是那些不能以企业名义作为联盟成员的个人。该联盟也创造了一些便于人们合作的组织结构：建立一些活跃的工作组，这种工作组确定（并公布）它存在的价值，其中的成员应当就该组织的技术愿景形成一致意见。

但是这并不重要，除非它们有实际成果。当时虽然处于早期，它们也确实取得了一些成果。它们发布了：

• 安全软件开发基础课程：在 edX 平台上有 3 门免费课程，旨在教授软件开发人员软件安全方面的知识。这些课程注重实际操作，任何开发人员都可以较轻松地学习，而不是那些需要耗费大量资源的理论或案例。开发人员也可以付费参加测试，从而获得认证，表明自己掌握了这些课程地内容。
• 安全评分卡：为开源项目自动生成“安全分数”，帮助用户进行信任、风险和安全方面的决策。
• 关键性分数：基于一些参数，为开源项目自动生成关键性分数。临界分数可以让人们对世界上最重要的开源项目有更好的理解。
• 安全度量仪表盘：这是较早时候发布的成果，它结合安全评分卡、CII 最佳实践和其他数据来源，提供与 OSS 项目有关的安全和支持信息的仪表盘。
• OpenSSF CVE 基准测试：基准测试由超过 200 个历史上的 JavaScript/TypeScript 漏洞（CVE）的脆弱代码和元数据组成。这将帮助安全团队评估市场上的各种安全工具，使他们能够用真实的代码库（而不是合成的测试代码）确定误报和漏报率。
• OWASP 安全知识框架：与 OWASP 的合作成果，它是一个知识库，包含了带检查清单的项目和使用多种编程语言的最佳代码样例。它还提供针对开发者如何使用特定的语言编写安全代码的培训材料，以及用于实际操作的安全实验室。
• 2020 年自由/开源软件贡献者调查报告：OpenSSF 和 LISH 发布了一份报告，其中详细说明了对开源软件贡献者的调查结果，并以此为依据，研究和确定提高 OSS 安全性和可持续性的方法。一共调查了 1200 名受访者。

现有的 CII 最佳实践徽章 项目已经与 OpenSSF 合并，将继续升级。现在项目有很多中文译者，翻译为斯瓦希里语的工作也在进行中，项目也进行了很多小改进，详细阐明获得徽章的要求。

2020 年 11 月举行的 OpenSSF 大会讨论了 OpenSSF 正在进行中的工作。最近，OpenSSF 有这些工作组：

• 漏洞披露
• 安全工具
• 安全最佳实践
• 对开源项目安全漏洞的识别（重点关注指标仪表盘）
• 对关键项目的保障
• 数字身份认证

除了持续更新已发布的项目，未来可能的工作还包括：

• 为减少重复工作，在多种技术指标中确定哪些是重复和关联的安全需求。这就是作为领导者与 OWASP 协作开发，也称为 通用需求枚举 Common Requirements Enumeration （CRE）。CRE 旨在使用一种公共主题标识符，将标准和指南的各个部分联系起来，这种公共主题标识符的作用是令标准和方案制定者高效工作，令标准使用者能搜索到需要的信息，从而使双方对网络安全有相同的理解。
• 建一个网站，提供对安全度量仪表盘的免安装访问。再次强调，这将会提供各种来源（包括安全计分卡和 CII 最佳实践）的数据的简单展示。
• 开发对关键 OSS 项目的识别功能。哈佛大学和 LF 已经做过一些识别关键 OSS 项目的工作。未来一年内，他们会改进方法，添加新的数据来源，从而更好地进行鉴别工作。
• 资助一些关键的 OSS 项目，提高它们的安全性。预期将关注那些财力不足的项目，帮助这些项目提升整体性能。
• 识别和实现已改进和简化的技术，用于数字签名的提交和对身份的校验。

跟所有的 Linux 基金会项目一样，OpenSSF 的工作是由其成员决定的。如果你对大家所依赖的 OSS 安全有兴趣，你可以访问 OpenSSF 网站并以某种方式加入它们。参与的最好方式是出席工作组会议——会议每隔一周就举行，而且非常随意。通过合作，我们可以有所作为。欲了解更多信息，可以访问：

https://openssf.org

作者：David A. Wheeler Linux 基金会开源供应链安全总监

本文 首次发表于 Linux 基金会网站。

via: https://www.linux.com/news/open-source-security-foundation-openssf-reflection-and-future/

作者：The Linux Foundation 选题：lujun9972 译者：cool-summer-021 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出