拜登政府最近关于网络安全的行政命令旨在提高安全保障和最佳实践的使用。透明度和项目健康状况是支持整个软件行业安全性的两个重要因素,尤其是在当下。
软件安全现在就是开源软件安全
因为92% 的现代应用程序包含开源组件,所以提高软件安全性通常意味着提高开源软件安全性。
根据拜登的行政命令
“我们对数字基础设施的信任程度应与该基础设施的可信度和透明度成正比。”
透明度是安全保障的基石,因为它有助于在技术中建立信任和信心。实际上,没有透明度,信任和安全就会消失。因此,我们可以帮助提高安全性的一种方法是增强项目的透明度。
通过开源实现的透明度可以提供有关项目的信息,从而使用户至少可以通过两种方式评估其健康状况
- 跨社区环境: 跨团队和社区协作是满足不断发展的安全性、隐私和安全标准的关键。鉴于开源的性质,安全是一个复杂的过程,涉及单个组织内的多个团队和多个组织(即跨社区)。
- 公开披露: 透明度还使组织能够快速构建和发布公开安全报告,以识别潜在的威胁和漏洞。
如何衡量透明度以实现安全保障
开源应该融入每个希望实现高透明度水平的现代组织的 DNA 中。然而,透明度不仅仅是允许访问代码、产品、设计、服务或 API。透明度是对完全清晰的承诺。
开源已经发展成为一个由项目和组织组成的复杂生态系统,它们之间存在各种不同的关系。开源项目办公室 (OSPO) 使公司、公共机构、政府和其他组织能够掌握其开源生态系统的规模和健康状况。他们不仅关注组织正在使用的项目,还关注正在发布或贡献的项目。
衡量开源生态系统透明度的方法之一是评估关于社区健康状况的以下问题的答案
- 需要多少维护者才能保持项目的可持续性? 巴士系数是一种确定项目在停滞之前可以损失多少贡献者的方法。该指标(假设某些贡献者被公共汽车撞倒会发生什么情况)计算出贡献 50% 的最小人数,并将答案可视化。
- 谁是核心开发人员? 洋葱模型是一种识别最忠诚的开发人员和项目最依赖的开发人员的方法。
- 哪些组织参与了软件开发过程? 除了分析员工提交提交、问题或代码贡献的公司数量外,大象系数还确定了完成一半工作的最少公司数量。
- 该软件是否具有安全认证? 拥有知名的安全认证,例如 核心基础设施倡议最佳实践徽章,表明开源项目遵循最佳实践并满足要求的认证标准。
- 社区有多活跃? 有多种方法可以评估社区是否活跃。一种方法是查看社区的反应速度,包括问题解决的速度与被忽略的问题数量。
这些问题中的大多数都是 CHAOSS 指标定义的一部分。社区健康分析开源软件 (CHAOSS) 是一个 Linux 基金会项目,专注于创建一套标准指标和软件,以帮助定义开源社区健康状况。它的 GrimoireLab 工具使项目更轻松地分析和报告其社区健康指标。
结束语
开源软件很久以前就占领了世界。拜登政府的新行政命令是另一个需要认真对待开源生态系统的原因,因为公共实体和私营公司都依赖它。但是,开源创新具有一种不遵循传统业务流程的独特方法。使用开源涉及投资 OSPO,并通过根据项目的活动情况查看项目健康状况来衡量透明度,以实现所需的安全保障。
评论已关闭。