拜登政府最近关于网络安全的行政命令旨在提高安全保证和最佳实践的使用。透明度和项目健康是有助于支持整个软件行业安全的两个因素--特别是现在。
软件安全现在是开放源码软件安全
由于92%的现代应用程序包含开源组件,因此提高软件安全通常意味着提高开源软件安全。
根据拜登的行政命令。
"我们对数字基础设施的信任应该与该基础设施的可信度和透明度成正比"。
透明度是安全保障的一个基石,因为它有助于建立对技术的信任和信心。的确,没有透明度,信任和安全就会蒸发。因此,我们可以帮助提高安全性的方法之一是加强我们项目的透明度。
通过开放源码的透明度可以提供有关项目的信息,让用户至少在两个方面评估其健康状况。
- 跨社区环境。跨团队和社区合作是满足不断发展的安全、隐私和安全标准的关键。鉴于其开源的性质,安全是一个复杂的过程,涉及单个组织和多个组织的多个团队(即跨社区)。
- **公开披露:**透明度也使组织能够快速建立和发布公共安全报告,以确定潜在的威胁和漏洞。
如何衡量透明度以实现安全保障
开放源码应该是每个希望实现高透明度的现代组织的DNA。然而,透明度涉及的不仅仅是允许访问代码、产品、设计、服务或API那么简单。透明度是一种对完全清晰的承诺。
开放源码已经发展成一个复杂的项目和组织的生态系统,具有不同种类的关系。开放源码项目办公室(OSPO)使公司、公共机构、政府和其他组织能够掌握其开放源码生态系统的规模和健康。他们不仅关心该组织正在使用的项目,也关心它正在发布或贡献的项目。
衡量整个开源生态系统透明度的方法之一是评估以下关于社区健康的问题的答案。
- 需要多少维护者来保持项目的可持续性? 公交车因素(Bus Factor)是一种确定一个项目可以失去多少贡献者才会停滞不前的方法。 这个指标(假设某些贡献者被一辆公交车碾过会发生什么)计算出做出50%贡献的最小人数并将答案可视化。
- 谁是核心开发者? 洋葱模型是一种识别最坚定的开发者和项目最依赖的开发者的方法。
- 哪些组织参与了软件开发过程?除了分析员工做出提交、问题或代码贡献的公司数量外,大象因素还确定了做一半工作的公司的最低数量。
- 该软件是否有安全认证?拥有知名的安全认证,如Core Infrastructure Initiative Best Practices Badge,表明开源项目遵循最佳实践,并符合规定的认证标准。
- **社区的活跃程度如何?**有多种方法可以评估一个社区是否活跃。一种方法是看社区的反应速度,包括问题被解决的速度与被忽略的数量。
这些问题大多是CHAOSS指标定义的一部分。社区健康分析开源软件(CHAOSS)是Linux基金会的一个项目,专注于创建一套标准的指标和软件来帮助定义开源社区健康。其GrimoireLab工具使项目更容易分析和报告其社区健康指标。
结束语
开源软件在很久以前就占领了世界。拜登政府的新行政命令是另一个认真对待开源生态系统的理由,因为公共实体和私营公司都依赖它。但开源创新有一个独特的方法,不遵循传统的商业流程。使用开源涉及对OSPO的投资,并根据项目的活动来衡量透明度,以达到所需的安全保证。
