作者:Ana Jiménez Santamaría(TODO集团)和David A. Wheeler(Linux基金会)。
一个精心设计的开源项目办公室(OSPO),如果存在,就是一个组织的开源运营和结构的能力中心。正如在 最近的深度研究报告 由TODO集团和Linux基金会的人工智能与数据组织提供,OSPO通过以下方式使全世界的组织受益。
- 实施独特而灵活的工具集,支持开放源码软件的开发模式,同时满足企业的信息技术准则。
- 监督内部政策的建立或调整,以便在快速变化的动态环境中更好地管理开放源码软件(OSS)的合规性。
- 帮助弥合传统软件开发实践与开放源代码开发要求之间的文化差距
- 完善技术指导,以及为组织内各层级的团队成员提供与合规有关的教育和培训计划。
实现行政支持、资金、软件开发实践和开放源码软件项目优先级的连续性
一个OSPO的角色可以包括设置代码使用、分发、选择、审计和其他政策,以及培训开发人员,确保法律合规性,或促进和建立社区参与。这一点很重要,因为现代软件应用要么是开放源码软件(OSS),要么主要是开放源码软件。OSPO领导需要为一个组织的开源工作承担正确的职能,首要任务之一是协助保障开源技术和最佳实践。
OSPO在建立开源的可持续性和安全性方面发挥着重要作用。TODO集团已经开发了一个清单,我们建议OSPO可以开始在你的组织中改善开源的可持续性和安全性。
OSPO的方式 可以成为开放源码可持续性和安全性的关键杠杆
- 关注教育 - 让你公司的每一个使用或为开放源码软件作出贡献的开发人员学习如何开发安全软件,例如,通过参加免费的 开发安全软件 教育模块。
- 在开发者账户上使用多因素认证(MFA)。- MFA使攻击者更难接管开发者的账户来进行恶意修改(例如,在 GitHub).
- 在你的CI管道中使用各种工具的组合来检测漏洞.请看 安全工具的OpenSSF指南.工具不应该是 只有 机制,但它们的规模。例如,安全代码扫描器(静态应用安全测试(SAST)工具)分析源代码,可以报告可能存在漏洞的区域,而软件组件分析(SCA)/依赖分析工具可以警告你依赖关系中的已知漏洞。
- 采纳 OpenSSF最佳实践奖章 在评估、贡献和发布项目作为开放源码软件时的标准。
- 使用以下方法衡量开放源码软件项目 开放的SSF记分卡.
- 签署缴费协议- 要求你的组织的贡献者使用DCO在提交上签字,以增加对代码可以在开源项目中被合法许可和使用的信心。
- 采纳 签名 - 是签署、验证和保护软件的新标准。
- 发布和消费软件材料清单(SBOM)。 这种格式之一是 SPDX.
- 监测和跟踪 使用项目健康跟踪工具,如:"项目健康跟踪",可以了解开源项目的整体健康状况。 Linux基金会的LFX 和 CHAOSS工具箱.
- 确定相关指导意见并与开发商分享 - 例如,OpenSSF的简明指南为 开发安全软件 和 评估开放源码软件.
- 建立社区之间的双向交流 - 创造和培养社区之间的双向交流。你现在可以在OSPO论坛上的新栏目下留下你的请求 OSPO愿望清单类别.
- 参加活动 在社区讨论中--参与到 OpenSSF工作小组 并加入我们的新 OSPOlogy.现场活动.
我们不仅建议把这些建议放在心上,我们还建议OSPO可以利用他们在组织中的战略地位,成为把这些建议变成员工/利益相关者/团队应该,甚至必须遵守的政策的驱动因素。这可能是一个有用的杠杆,特别是在组织的利益相关者如何参与开放源码软件方面,这一点特别重要,因为组织想确保不是他们的员工的错误导致了下一个log4shell事件。
参与OSPOlogy.live的新活动
我们正在为TODO集团在欧洲举办的新的OSPOlogy.live个人研讨会寻求内容创意和演讲者,同时还有OpenChain、CHAOSS、SPDX和OpenSSF社区。OPSOlogy.live倡议的目的是将参与OSPO特定主题的各个社区聚集在一起,以帮助组织根据特定地区的需求有效地实施OSPO计划。
主题将包括。
- 安全地使用开放源码来遵守许可证规定
- 开放源码的可持续性
- 回馈社会
- 确保开放源码软件的安全
在欧洲不同的国家组织OSPO的研讨会的努力已经在进行中,每季度集中讨论OSPO的各种职责和 我们邀请您进行合作.
OSPOlogy.live研讨会 瑞典
旨在帮助各组织根据具体地区的需求有效实施OSPO的第一次现场研讨会将于10月19-20日在斯德哥尔摩举行,由爱立信的OSPO主办,TODO、OpenChain、SPDX、CHAOSS和OpenSSF项目协办。 瑞典OSPOlogy.live研讨会注册事宜 现已开放。
