OpenSSF 发布开源项目安全基线

为了帮助开源项目维护者保证项目安全，开源安全基金会（OpenSSF）发布了一套基于国际网络安全框架、标准和法规的指南：开源项目安全基线。

OSPS 基线提供了一个分层的安全实践框架，可随着项目成熟度的提高而不断发展。它汇总了来自 OpenSSF 和其他专家组的现有的一些指南，概述了可增强软件开发和消费安全性的任务、流程、工件和配置。

OpenSSF 基线的主要目标是为不同规模的项目和团队的安全需求提供解决方案。基线维护者表示，相比之下，大多数商业或行业认可的框架和标准都是针对大型组织而创建的。他们认识到， OpenSSF 基线有可能与其他开源安全方案重叠，包括 CISA 和 NIST 的方案。尽管如此，他们还是强调了方案由“开源贡献者、维护者和技术领导者”定义的重要性，他们已经在开源项目中并肩工作了数十年。

OpenSSF 认为，遵守安全基线标志着一个项目已采取了一些基本措施来降低出现常见漏洞的风险，可以提高采用者和贡献者对它的信任度。不过，这个工具并不是为了用于比较项目 或作为评分或分级机制。

该基线是 由来自不同组织的维护者组成的团队 创建的。其中一位是目前在安全公司 Sonatype 工作的 Eddie Knight，他解释了他们 如何利用 从广泛采用的 最佳实践徽章、记分卡 和 CLOMonitor 中获得的洞察力。

此外，基线的定义还考虑了欧盟《网络弹性法案》（CRA）和美国国家标准与技术研究院（NIST）《安全软件开发框架》（SSDF）中的要求，以便维护者和开源软件制造商可以依据它来更好地满足监管要求。

OpenSSF 基线按三个“项目成熟度”级别进行组织。没有 “放之四海而皆准”的安全解决方案，用户需要选择最适合自身情况和可用资源的级别。第 1 级是任何拥有任意数量维护者的项目；第 2 级是拥有至少两名维护者和少量用户的项目；第 3 级是拥有大量用户的项目。

基线涵盖不同的安全领域，如访问控制、构建和发布、文档、质量、漏洞管理等。举例来说，访问控制部分重点介绍了针对项目版本系统和 CI/CD 管道的访问控制机制，如遵循最小权限原则分配 CI/CD 权限、要求合作者进行多因素身份验证 等。

Jamie Scott 是 Endor Labs 产品经理、Redis 和 StackRox 的前开源贡献者。他强调了基线可能被滥用的风险，例如期望每个开源项目都选择加入。此外，他还强调，重要的是要理解，开源安全应该是维护者和使用其项目的公司共同承担的责任。因此，“如果你希望看到一个项目成熟，你就有责任帮助它”。

目前尚没有自动化工具可以用来证明项目是否符合基准。建议项目维护者能够自证，如 “截至 2025 年 4 月 31 日，本项目符合 OSPS 基准版本 2025-02-30 第 2 级”。

OpenSSF 将随着时间的推移定期更新基线，以反映经过改进的最新最佳实践。

原文链接：

https://www.infoq.com/news/2025/03/openssf-security-baseline/