办公 频道

OSPO如何成为开源可持续性和安全性的关键杠杆

作者:Ana Jiménez Santamaría(TODO工作组)和David A. Wheeler(Linux基金会)

一个设计完善的开源项目办公室(OSPO),如果存在,就是一个组织的开源运营和治理结构的能力中心。

正如TODO工作组和Linux基金会人工智能(AI)与数据发布的近期深度研究报告中所描述的那样 (https://www.linuxfoundation.org/tools/a-deep-dive-into-open-source-program-offices/) ,OSPO通过以下方式使全世界的组织受益:

  1. 实施独特和灵活的工具集,支持开源软件(OSS)的开发模式,同时满足企业的信息技术准则;

  2. 监督内部政策的建立或调整,在快速变化的动态环境中更好地管理OSS的合规性;

  3. 帮助跨越传统软件开发实践和开源开发要求之间的文化鸿沟;

  4. 改善技术指导以及针对企业内各层级团队成员开展的合规性教育和培训方案。


实现行政支持、资金、软件开发实践和OSS项目优先级的延续性

一个OSPO的角色可以包括设置代码使用、分发、挑选、审计和其他政策,以及培训开发人员、确保法律合规性或提升并逐渐增强社区参与度。这一点很重要,因为现代软件应用要么都是开源软件(OSS),要么大部分是OSS。OSPO领导者需要为一个企业的开源工作承担正确的职能,首要任务之一是协助保障开源技术和比较好的实践。


OSPO在建立开源的可持续性和安全性方面发挥着重要作用。TODO工作组已经开发出一个清单,里面列出了我们对于OSPO可以开始在你的企业中提升开源可持续性和安全性的建议方式。

OSPO可成为开源可持续性和安全性的关键杠杆的方法:

  1. 注重教育 - 让你公司每个使用或为OSS作出贡献的开发者学习如何开发安全软件,例如,通过参加免费的开发安全软件教育模块(https://openssf.org/training/courses/) 
  2. 对开发者账户使用多重验证 (MFA) - MFA使攻击者更难通过控制开发者账户来进行恶意修改(例如,在Github (https://docs.github.com/en/authentication/securing-your-account-with-two-factor-authentication-2fa/configuring-two-factor-authentication))。
  3. 在你的CI管道中使用各种工具组合来检测漏洞。请参考 《OpenSSF安全工具指南》 (https://github.com/ossf/wg-security-tooling/blob/main/guide.md)。工具应该不是唯一的机制,但它们可以扩展。例如,安全代码扫描器(静态应用安全测试(SAST)工具)分析源代码,可以报告可能存在漏洞的区域,而软件组件分析(SCA)/依赖分析工具可以警告你依赖中的已知漏洞。
  4. 当项目作为OSS进行评估、捐献和发布时采用OpenSSF比较好的实践徽章标准 (https://github.com/coreinfrastructure/best-practices-badge#openssf-best-practices-badge-formerly-cii-best-practices-badge)
  5. 使用OpenSSF记分卡度量OSS项目 (https://github.com/ossf/scorecard)
  6. 签署贡献协议 - 需要来自你组织的贡献者使用DCO签署提交,以增加对代码可被合法授权并可以在开源项目中使用它们的信心。
7. 采用sigstore - 签署、验证和保护软件的新标准(https://www.sigstore.dev/)
8. 发布和使用软件材料清单(SBOM), 其中一种格式是SPDX (https://spdx.dev/specifications/)
9. 用项目健康跟踪工具监测和跟踪开源项目的整体健康状况,如Linux基金会的LFX (https://lfx.linuxfoundation.org/)和CHAOSS工具包(https://chaoss.community/) 
10. 识别相关的指导,并与开发者分享 - 例如《OpenSSF简明指南》中的开发安全软件 (https://github.com/ossf/wg-best-practices-os-developers/blob/main/docs/Concise-Guide-for-Developing-More-Secure-Software.md#readme) 和评估开源软件 (https://github.com/ossf/wg-best-practices-os-developers/blob/main/docs/Concise-Guide-for-Evaluating-Open-Source-Software.md#readme)

11. 在社区之间建立双向交流 - 建立和培养社区之间的双向交流。你现在可以在OSPO论坛新的OSPO意愿清单类别中留下你的申请 (https://github.com/todogroup/ospology/discussions/categories/ospo-wishlist)。

12. 参与社区讨论 - 参与OpenSSF工作组(https://openssf.org/community/openssf-working-groups/),并加入我们的新活动"OSPOlogy.live" (https://github.com/todogroup/ospology/blob/main/ospology-live/framework.md)

我们不仅推荐把这些建议牢记于心,还建议OSPO可以利用他们在企业中的战略地位驱动这些建议成为员工/利益相关者/团队应该(甚至必须)遵守的政策。这可能是一个有用的手段,特别是在处理企业的利益相关者如何参与OSS这个问题时。当企业想确保他们的员工不会犯错导致下一个类似log4shell事件的问题发生时,如何处理这个问题尤其重要。

参与新的活动 OSPOlogy.live

TODO工作组正在与OpenChain、CHAOSS、SPDX和OpenSSF社区一起在欧洲举办线下研讨会,我们正在为当中的新活动OSPOlogy.live 征集内容和演讲嘉宾。OPSOlogy.live倡议的目的是将参与OSPO特定主题的各个社区聚集在一起,帮助企业根据特定领域的需求有效地实施OSPO计划。 

主题将包括:

  • 安全地使用开源,实现许可协议合规
  • 开源可持续性
  • 回馈社区
  • 确保OSS的安全

目前,在欧洲不同国家举办 OSPOlogy 研讨会的工作已经在进行中,每季度重点讨论OSPO的不同职责,我们邀请你一起合作(https://todogroup.org/blog/new-framework-in-person-ospo-workshops/)。 

OSPOlogy.live 瑞典研讨会

旨在帮助各企业根据具体领域需求有效实施OSPO的第一场OSPO.live线下研讨会将于10月19-20日在斯德哥尔摩举行,由爱立信的OSPO主办,TODO、OpenChain、SPDX、CHAOSS和OpenSSF等项目协办。OSPOlogy.live瑞典研讨会现已开放注册 

(https://community.linuxfoundation.org/events/details/lfhq-todo-group-europe-presents-ospologylive-workshop-sweden/)

译者:永雷


0
相关文章