然而,多恩布什表示,尽管这看似出于好意,但这也意味着那些已经能够免费获得开发者资源的消费者现在还要求免费获得质量(QA)和风险分析。
Sectigo的高级研究员杰森·索罗科表示:“OSPS基线为开源安全设定了一个明确且必要的底线。然而,这可能会形成一个固定的检查清单,使安全合规变成目的而非过程。随着态势的发展,静态基线可能会让项目产生虚假的安全感。”
前局(NSA)网络安全专家埃文·多恩布什表示:“从概念上讲,让开发者了解他们的代码可能带来的风险是件好事,这样他们就能提高技艺,并生产出更好的产品。对于消费者来说,明智地决定不采用那些没有基线安全设计的产品也是件好事。”
OSPS包含三个级别,其中第一级别要求开发者实施多因素认证(MFA),将协作者权限设置为最低可用权限,并确保网站包含SSH、HTTPS或其他加密通道。第二级别要求,除明确提升权限的情况外,持续集成/持续部署(CI/CD)管道必须配置为最低可用权限,所有发布的软件资产必须为每个版本分配唯一的版本标识符,项目文档必须包含有关支持范围和持续时间的描述性说明。
该项目被称为“开源项目安全基线(OSPS基线)”,其开发基于一个认识:者总会试图利用开源软件发动恶意供应链。
最后,第别的要求更为严格,所有编译发布的软件资产必须包含软件物料清单(SBOM),并且项目必须进行建模和面分析。
2月25日,开源安全基金会(OpenSSF)发布了一套三层指南,旨在帮助开发者为开源Linux软件建立最低限度的安全保障。
多恩布什问道:“消费者何时开始利用志愿者开源社区的善意了?”他指出:“在最近一些广泛使用的压缩库中发现的零日漏洞之前,消费者一直毫无地将未经审查的代码投入生产。与其将这一负担完全推给开发。
上一篇:冰雪传奇冰雪传奇骑战版世界骑战风云及大世界68天引客356万人次 四季续章
下一篇:没有了!
