吕明

自去年成立以来，OpenSSF社区一直在快速地工作，以提高开源生态系统的安全性。我们都知道这不是一个小任务，所以我们要花点时间来报告所有正在发生的工作，并邀请你参与。

我们希望在下一次OpenSSF市政厅会议上见到你，时间是2月22日星期一，东部时间1:00-2:00。会议对公众开放；请告诉其他人，以便他们能够加入我们的行列。 点击这里注册。

自去年成立以来，OpenSSF社区一直在快速地工作，以提高开源生态系统的安全性。我们都知道这不是一个小任务，所以我们要花点时间来报告所有正在发生的工作，并邀请你参与。 我们也希望在2月22日（星期一）美东时间1:00-2:00的下一次市政厅会议上见到你。  点击这里注册。

技术展望 

也许最重要的是，我们已经跨公司和跨地域工作，以阐明我们对这项工作的技术愿景。我们的挑战是一个巨大的挑战，一个集体的、有意识的愿景使我们能够优先考虑紧迫的需求。 

我们设想的未来是，开源生态系统的参与者使用和分享高质量的软件，并主动地、默认地、理所当然地处理安全问题。

• 开发人员可以很容易地学习安全开发实践，并由他们的工具主动指导应用这些实践，并在需要采取行动防止、补救或缓解安全问题时自动通知。

• 开发人员、审计人员和监管人员可以创建并轻松分发通过工具化和自动化执行的安全策略，为结果提供持续保证。

• 开发人员和研究人员可以识别安全问题（包括无意的漏洞和恶意软件），并让这些信息通过供应链迅速向后流动，交给能够迅速解决该问题的人。

• 社区成员可以提供有关产品缺陷、缓解措施、质量和可支持性的信息和通知，并让这些信息在整个生态系统中迅速流向所有用户，而用户可以迅速更新他们的软件或适当地实施缓解措施。

工作小组的进展

我们的工作小组是完成工作的地方，来自整个行业的贡献者在最近几个月取得了重要进展。技术展望》将有助于指导这项工作。以下是最新的更新。 

确保关键项目的安全
这个工作组的工作重点是了解哪些开源软件项目是最关键的，以便对安全工作进行相应的优先排序。该小组正在研究一个 关键性得分 并促成了 关于2020年FOSS贡献者调查的报告 由哈佛大学和Linux基金会提供。

安全工具
该工作组的最新工具是 CVE基准 为工具和数据集。它使用一系列静态应用安全测试（SAST）工具，针对200多个历史上的JavaScript/TypeScript漏洞，分析真实世界的代码库。 

识别安全威胁
这个小组正在就一个 安全度量 为开源项目提供仪表板。安全指标仪表盘的早期版本已经向工作组展示。

漏洞披露
该小组正在开发用户角色，以关注当前实践中的差距，并评估目前社区内正在使用的脆弱性管理实践和标准。

最佳实践
该集团已经建立了 安全记分卡，其中 通过对开放源码软件项目的一系列检查，自动生成一个 "安全分数"。它简单易懂，完全自动化，使用客观标准，并有能力通过提高意识和激励项目改善其安全状况，对整个OSS生态系统产生巨大影响。 

该小组还在开发一个参考架构和关于工作组项目的核心组件和关系的教育性介绍；与OWASP安全知识框架（SKF）合作，提供关于最佳实践的信息和实验室，以便在各种编程语言中进行尝试，并改进CII最佳实践徽章的国际化，包括更多的中文翻译和斯瓦西里语的初步进展。 

OpenSSF管理委员会的安全代表 

我们还想与大家分享的是，Ian Coldwater已被选为OpenSSF管理委员会的安全代表。Ian是Twilio公司的软件工程--DevSecOps总监，擅长黑客攻击和加固Kubernetes、容器和云原生基础设施。他们也是Kubernetes SIG安全的联合主席。 

哦，如果你还没有读过，Linux基金会的开源供应链安全总监David A. Wheeler有一篇新文章，关于 如何防止像SolarWinds那样的供应链攻击 - 并提出具体建议。 

OpenSSF是一个跨行业的组织，该组织 它汇集了业界最重要的开源安全倡议以及支持这些倡议的个人和公司。它结合了Linux基金会为应对2014年Heartbleed漏洞而成立的核心基础设施倡议（CII），以及GitHub安全实验室成立的开源安全联盟，以建立一个社区来支持未来几十年的开源安全。 

欲了解更多信息并了解如何参与，包括参与工作组和咨询论坛的信息，请访问 https://openssf.org/getinvolved.

作者。Kim Lewandowski, 代表数字身份认证工作组

我们在2020年8月启动了OpenSSF下的第一个数字身份证明工作组会议。该工作组的目标是使开源维护者、贡献者和最终用户能够了解他们所维护、生产和使用的代码的出处或来源，并作出决定。

我们在前几次会议上讨论了不同的威胁模式，因为它与参与软件供应链的人的数字身份有关，以及在供应链的每个环节中可能出现哪些类型的攻击。在这个练习之后，我们的会议充满了社区演讲，因为我们都试图了解这个领域的更多信息，并集思广益，寻找潜在的机会，共同减轻这些类型的攻击。 

以下是迄今为止的演讲摘要。

Linux内核

• 演讲者。Konstantin Ryabitsev (Linux Foundation)
• 摘要。 本演讲是对Linux内核如何处理开发者身份验证的概述。
• 幻灯片
• 淘宝网

In-Toto

• 演讲者。Santiago Torres-Arias (普渡大学)
• 摘要：本演讲介绍了in-toto作为一个框架，用于自动化软件供应链操作的合规性、组织内的新行为人（如开发人员）的入职，以及验证软件开发生命周期的最佳实践。使用in-toto，可以对这些过程进行加密检查，以确保每个行为者正确履行其职责，没有遗漏任何步骤，也没有篡改这些步骤的证据。
• 幻灯片
• 淘宝网

自主的身份

• 演讲者。Arnaud Le Hors (IBM)
• 摘要：对自我主权身份的简短介绍，这是一个新的身份管理系统，允许个人和组织对其数字身份进行控制。本演讲介绍了基于特定场景的整体架构，强调了关键原则，并指出了各种相关的倡议，重点是开发支持标准和软件。
• 幻灯片
• 淘宝网

Node.js的发布过程

• 演讲者。Myles Borins (GitHub)
• 摘要：Myles回顾了Node.js项目如何以安全可靠的方式管理发布。我们研究了我们用来帮助发布经理维护多条发布线的工具，我们的测试基础设施，以及我们为确保可靠的一致发布而制定的流程。
• 淘宝网

用SSH进行Git签名

• 演讲者。达米安-米勒（谷歌）
• 摘要：讨论让git仓库中的每一行代码以加密方式归属于作者或导入者的目标。
  建议重构git的密码学支持，允许更多的签名方案，而不仅仅是目前的gnupg。建议增加对使用SSH密钥签名的支持，因为大多数git用户已经有一个SSH密钥，他们用它来认证版本库。 讨论在OpenSSH中已经取得的进展，以支持可以兼容的任意签名。
  希望使用SSH密钥的签名可以做到近乎无缝，提交和推送的签名可以成为大多数用户的默认签名。 讨论存储库-主机端反签名等问题，以便在重构/合并操作中保留出处。
• 幻灯片
• 淘宝网

PKI

• 演讲者：Mike MaloneMike Malone (Smallstep)
• 摘要：对公钥基础设施（PKI）标准和技术的介绍和概述。广义上讲，PKI涉及密钥的分配和管理（注册、更新、撤销、透明度等）。本讲座探讨了网络PKI（HTTPS）的标准和实践，以及如何应用它们来帮助保障软件供应链的安全。
• 幻灯片
• 淘宝网

杨森

• 演讲者。 迈克-施瓦茨
• 摘要：Janssen是一个开源的数字身份和访问管理平台。组织可以使用这个软件来自我托管一个身份提供者，或者将这种能力建立在一个产品中。该项目包括 "Janssen Auth Server"，它是一个OAuth授权服务器和一个OpenID Connect提供商。Janssen Auth Server是Gluu Server 4.2.2的核心组件的分叉，该组件已在OpenID基金会得到认证。 杨森项目的其他组件包括一个W3C WebAuthn服务器（FIDO 2）的实现，它使人们能够注册、验证和管理这些新的证书。 除了源代码之外，杨森项目还发布了云端原生资产和一个可以安装在虚拟机或裸机上的发行版。  
• 淘宝网
• 项目主页。 https://jans.io

下一步是什么？

我们一直在寻找新的演讲者，讨论这个领域的主题。如果你对演讲感兴趣，或者想参与到工作组中来，请查看 GitHub repo 以了解会议和其他沟通渠道的详情。

在未来，该工作组希望围绕整个软件供应链的签名透明度进行探索。

感谢所有演讲者抽出时间进行演讲，并感谢他们帮助编撰这篇回顾文章!

作者。 Bas van Schaik

今天，在 欧洲黑帽组织，在 开放源代码安全基金会 (OpenSSF)公布了其最新举措：OpenSSF CVE基准。该基准由200多个历史上的JavaScript/TypeScript漏洞的脆弱代码和元数据组成(CVEs).它包括使用一系列不同的静态应用安全测试（SAST）工具来分析受到这些漏洞影响的真实世界代码库的工具。自动生成的报告将帮助安全团队评估市场上的不同安全工具。

工程和安全团队在考虑安全工具时通常有一个主要要求：有效地检测漏洞（即产生很少的假阴性），同时保持低的假阳性率。这正是OpenSSF CVE基准所衡量的。

OpenSSF CVE基准测试 工具和数据都是开源的，可以在GitHub上找到。. 

制定基准的新方法

该基准解决了安全团队今天在评估安全工具时面临的两个问题。首先，OpenSSF CVE基准不是使用合成的测试代码，而是使用真实的历史数据。 CVEs.使用这种方法，安全工具是在 真正的 的代码库，其中包含 真正的 漏洞。第二，通过分析每个代码库的补丁版本，可以更准确地确定这些工具的假阳性率。

对于数据集中的200多个CVE中的每一个，CVE基准都要确定。 

1. 一个工具是否能够检测到漏洞，或者是否产生假阴性？
2. 它能识别补丁吗？还是对打过补丁的代码产生假阳性？

目前，评估安全工具功效的最常见方法之一是在包含合成漏洞的代码库上运行它。对于每一种流行的编程语言，都有多个这样的代码库，它们被不同程度地维护。大多数这样的 "基准代码库 "或 "测试套件 "是由志愿者完成的，而其他的则由大型组织发布（如NIST的SAMATE计划，它维护着Juliet测试套件）。

创建具有合成漏洞的代码库是一种挑战。在许多情况下，测试套件并不像真实的代码库：每一个看起来很奇怪的代码片段几乎都能保证是有效的结果。对于真实世界的代码来说，这远远不是事实。要求工具供应商优化他们对这种代码库的分析能力是适得其反的。 一个在合成代码库上表现良好的工具，绝不可能保证在真实世界的代码上表现良好。.

事实上，真正的漏洞往往是应用程序自身的代码和其依赖关系之间复杂的相互作用的结果。例如，用户控制的数据可能通过一个网络框架进入一个网络应用程序。然后，它可能流经应用程序自己的函数和数据结构，最终进入模板框架。对于一群志愿者（或政府机构）来说，持续保持他们的基准代码库或测试套件与大量流行框架和库的最新版本保持一致几乎是不可能的。

评估一个工具的假阳性率也很关键：如果一个工具产生了太多的假阳性，工程师就会在分流过程中损失太多时间，并最终完全停止使用该工具。不幸的是，通过在合成基准代码库上运行一个工具，很难衡量它的误报率。这些代码库并没有为其漏洞提供补丁，因此不可能确定一个工具是否会识别这样的补丁，或者标出一个假阳性。

我们需要你的帮助!

OpenSSF CVE基准是一个社区项目，由OpenSSF的安全工具工作小组发起，并且 我们希望得到您的帮助!

CVE基准目前包括218个影响开源JavaScript和TypeScript代码库的历史CVE。我们欢迎大家做出贡献，以扩大我们的数据集，或改进框架的工具。
基准框架目前为三种不同的安全工具提供集成。ESLint，nodejsscan，和CodeQL。为其他安全工具开发一个集成是很简单的；它通常需要<200行代码。 我们邀请大家来 贡献他们的集成 回到我们的开放源码库!

点击这里转发!

ǞǞǞ 视频录制 2020年11月9日开源安全基金会（OpenSSF）"公共市政厅 "会议的报告 现已推出!本次会议分享了OpenSSF前三个月的最新情况并庆祝其取得的成就。它包括来自OpenSSF理事会、技术咨询委员会和工作组领导的发言。整个过程中会有提问和回答。它还包括关于如何 参与进来。

一目了然，市政厅议程。

• 欢迎和概述
• 正在发生的事情
  • 理事会 和规划委员会
  • 技术咨询委员会
  • 工作小组
    • 识别安全威胁 - 开源项目的安全指标
    • 安全工具 - 最先进的、全球通用的安全工具
    • 最佳做法--对安全最佳做法的认识和教育
    • 漏洞披露--高效的漏洞报告和补救措施
    • 数字身份认证--确保开放源代码的出处
    • 确保关键项目的安全--对关键开源项目的实践帮助
• 讨论+问答

作者:Kim Lewandowski，谷歌产品经理

当OpenSSF启动时，我想做的第一件事就是帮助人们在消费开源项目时做出更好的安全决策，并让人们更多地了解我们所依赖的这些关键项目的健康状况。有些人可能会说，在你的软件系统中引入一个新的依赖关系几乎太容易了。在我以前的工程师生活中，我绝对犯了这样的错误。我记得我在建立自己的网站时随机拉入了Python包，而没有考虑到安全问题。如果有那么多人在使用同一个包，应该是没问题的，对吗？

随着开源软件攻击的增加，现在有更多的人意识到，把不是你写的开源代码拉到你的软件供应链中，应该值得仔细审查。在大型企业中，当试图对任何新的依赖关系进行自动化分析和信任决策，或对现有依赖关系的卫生状况进行更新时，这会变得有点棘手。这些问题是激发新的 "记分卡" 我们今天要发布的OpenSSF项目。 

计分卡的目标是为开源项目自动生成一个 "安全分数"，以帮助用户决定其使用案例的信任、风险和安全态势。当项目或组织内部引入新的开源依赖关系时，该数据也可用于以自动化的方式增强任何决策。例如，组织可以决定任何低分的新依赖关系必须经过额外的评估。这些检查可以帮助减轻恶意依赖，使其不会被部署到生产系统中，就像我们最近看到的 恶意的NPM包.

我们已经定义了一个初步的评估标准，将用于以完全自动化的方式为一个开源项目生成一个记分卡。目前，该代码只适用于来自GitHub的软件库，但我们将扩展它以涵盖其他源代码库。使用的一些评估指标包括定义明确的安全政策、代码审查过程和使用模糊和静态代码分析工具的持续测试覆盖率。

利用记分卡数据，我们希望通过提高可见度来建立一种安全文化。我们希望与社区合作，改善我们所依赖的关键项目的安全状况。

现在是这个项目的早期阶段，虽然我们在这个问题上取得了一些进展，但我们还没有解决这个问题，需要社区的帮助来改进这些安全评估指标，并增加新的指标。有一个 小愿望清单 的问题已经在 repo 中。让我们一起为开源软件的更安全的未来而努力!

开源安全基金会（OpenSSF）已经开发了三套 免费课程 关于如何开发安全软件。这些课程属于 安全软件开发基础知识专业证书 计划，都可以在edX平台上获得。这份材料是为所有软件开发人员准备的，以便他们能够学会开发安全软件。它侧重于任何软件开发人员都可以轻松采取的实际步骤，而不是需要无限资源的理论或行动。

有兴趣的人可以 报名参加 从2020年10月29日开始。课程材料预计将于2020年11月5日发布。欲了解更多信息 点击这里.

今天，几乎所有的软件都受到了攻击，而许多组织和开发人员在防御方面却毫无准备。安全软件开发基础课程将使软件开发人员能够创建和维护更难成功攻击的系统，减少攻击成功后的损失，并加快反应速度，以便迅速修复任何潜在的漏洞。本课程所涉及的最佳实践适用于所有软件开发人员，并包括对那些使用或开发开放源代码软件的人特别有用的信息。

今天，48%的技术招聘经理表示，雇用具有安全专业知识的专业人员是一个高度优先事项（如2020年开源工作报告），所以没有一个更好的时间来从事这个课程。同样，安全软件开发人员的收入比美国全国平均水平的软件开发人员多35%（根据ZipRecruiter 2020年9月25日数据）。

该计划的课程讨论了风险和要求、设计原则以及评估代码（如包）的重复使用。然后集中讨论关键的实现问题：输入验证（如为什么要使用allowlists而不是denylists），安全地处理数据，向其他程序呼出，发送输出，密码学，错误处理，以及事件响应。随后是对各种验证问题的讨论，包括不同种类的安全工具。该课程最后讨论了部署和漏洞报告问题。

Chris Aniszczyk（云原生计算基金会（CNCF）首席技术官）说："在当今世界，越来越多的公司使用更多的软件，自己成为软件公司，一切都变得互联互通，安全教育比以往更加重要。在CNCF，我们对这个新的安全专业证书感到兴奋，并打算让我们所有的项目领导层通过该计划中的课程，并建议你们在你们的社区也这样做。"

软件开发人员可以参加这三门课程中的每一门 无偿提供.他们可以在任何时候注册，然后他们将有有限的时间访问EdX上的课程材料。希望证明对材料的掌握程度（或对EdX上的材料有无限的访问时间）的开发者可以付费注册安全软件开发基础专业证书课程。该计划包括的课程有

1. 安全软件开发。需求、设计和重用（LFD104x）。
2. 安全软件开发。实施（LFD105x）
3. 安全软件开发。验证和更多的专业主题（LFD106x）。

有兴趣的人可以 报名参加 从2020年10月29日开始。课程材料预计将于2020年11月5日发布。欲了解更多信息 点击这里.