作者:Randall T. Vasquez(Gentoo)和开源开发者最佳实践工作组
近年来,开源软件的快速增长使开发人员得以进入新的领域。红帽公司 预期 这种增长在未来几年将进一步扩大,80%的企业预计在未来几年将增加对开源的依赖。然而,这并不是没有问题的。最近,Snyk和Linux基金会 报告 "51%的组织(没有)为开放源码软件(OSS)的开发或使用制定安全政策"。
为了回应人们对开源软件开发的日益关注,OpenSSF的 开放源代码开发者工作组的最佳实践 (WG)一直在与有关成员和社区团体辛勤工作,为开放源码的开发者和消费者制定一些新的指南。
开发更安全软件的简明指南
我们的第一个新指南,"开发更安全软件的简明指南这篇文章是针对开放源码和封闭源码的软件开发者的。其目的是创建一个简短但可操作的清单,说明对每个开发人员和项目的期望。它建议采取各种行动,从确保所有有特权的开发人员使用多因素认证(MFA)令牌,到在显著位置记录如何报告漏洞和准备漏洞。
评估开源软件的简明指南
我们的第二份新指南,"评估开源软件的简明指南这本书是针对开源软件的开发者和消费者的。其目的是为任何考虑使用一些开源软件的人创建一个可用的参考文件。它建议通过考虑以下问题来评估一个潜在的开放源码软件依赖性的安全性和可持续性。你能避免添加它吗?你是否正在评估预定的版本?它是否被维护?以及更多的问题。
理想情况下,开发者在编写代码、为社区项目做贡献时,或者在将开放源码软件工具和项目纳入他们的工作中时,可以使用这些指南。 而且,现在这些简明的指南已经可用,随着安全开发实践的不断发展,更广泛的社区可以贡献他们的想法。
