Знак передовой практики Open Source Security Foundation (OpenSSF)
Вопрос: Каков текущий статус передовой практики OpenSSF для проекта?
Обзор
Значок OpenSSF Best Practices от Linux Foundation позволяет проектам с открытым исходным кодом добровольно подтверждать, что они следуют лучшим практикам с открытым исходным кодом. Проекты могут использовать веб-приложение OpenSSF Best Practices Badge, чтобы объяснить, как они придерживаются каждой лучшей практики. Проект получает значок прохождения, если он соответствует всем требуемым критериям.
Значок посвящен кибербезопасности в программном обеспечении с открытым исходным кодом и помогает гарантировать, что проекты следуют передовым практикам для создания безопасного и высококачественного программного обеспечения.
Команда Значок «Лучшая практика OpenSSF»:
- Указывает на соответствие проекта «лучшим практикам проектов с открытым исходным кодом», как определено базовой инфраструктурной инициативой Linux Foundation.
- Поощряет проекты с открытым исходным кодом к созданию безопасного программного обеспечения путем соблюдения устоявшихся передовых практик.
- Позволяет потребителям оценить, какие проекты с открытым исходным кодом с большей вероятностью будут производить безопасное и надежное программное обеспечение на основе их соответствия этим передовым практикам.
Хотите знать больше?
Нажмите, чтобы узнать больше об этом показателе.
Стратегии сбора данных
Из издания Страница с лучшими практиками OpenSSFСтатус проекта OpenSSF Best Practices можно оценить, если:
- Проекты получают значок «Проходной», если они соответствуют всем требуемым критериям.
- Статус каждого критерия для данного проекта может быть «Соответствует», «Не соответствует», «Н/Д» или «неизвестно».
- Каждый критерий относится к одной из четырех категорий: «ОБЯЗАТЕЛЬНО», «СЛЕДУЕТ», «ПРЕДЛАГАЕМО» или «БУДУЩЕЕ».
- Для получения значка необходимо соблюсти все критерии «ДОЛЖЕН» и «НЕ ДОЛЖЕН», соблюсти все критерии «ДОЛЖЕН» ИЛИ задокументировать обоснование невыполнения критерия, а также оценить все ПРЕДЛАГАЕМЫЕ критерии как выполненные или невыполненные.
- Если проект соответствует дополнительному критерию, доступны расширенные уровни значков — серебряный и золотой.
Для получения дополнительной информации см. Документация API OpenSSF
Фильтры
Метрику можно фильтровать по:
- Уровень значка (проходной, серебряный, золотой)
- Тип проекта или область фокусировки (например, проекты по кибербезопасности)
- Статус критерия (соответствует, не соответствует, N/A, неизвестно)
- Тенденции соответствия с течением времени
Визуализация
Рисунок 1: Пример значка передовой практики OpenSSF (OpenSSF)
Рекомендации
Соавторы
- Элизабет Бэррон
- Шон Гоггинс
- Мэтт Жермонпрез
- Даниэль Искьердо
- Рассвет Фостер
- Бет Хэнкок
- Кевин Ламбард
- Винод Ахуджа
- Йигакпоа Л. Самуэль (Икпае)
Дополнительная информация
- Чтобы изменить этот показатель, отправьте запрос на изменение здесь: https://github.com/chaoss/wg-risk/blob/main/focus-areas/security/openssf-best-practices.md
- Чтобы ссылаться на этот показатель в программном обеспечении или публикациях, используйте этот стабильный URL-адрес: https://chaoss.community/?p=3939
Использование и распространение показателей работоспособности может привести к нарушению конфиденциальности. Организации могут быть подвержены рискам. Эти риски могут проистекать из соблюдения GDPR в ЕС, законодательства штата в США или других законов. Также могут быть контрактные риски, вытекающие из условий обслуживания для поставщиков данных, таких как GitHub и GitLab. Использование метрик должно быть проверено на предмет рисков и потенциальных проблем с этикой данных. Посмотри пожалуйста Документ по этике данных CHAOSS для дополнительных указаний.