Yayasan Keamanan Open Source (OpenSSF) telah menciptakan a Dasar Keamanan Proyek Dasar Ini membantu proyek open source dari semua ukuran menjamin bahwa upaya mereka aman.

Garis dasar mendefinisikan serangkaian persyaratan minimum untuk keamanan aplikasi yang dapat dilakukan pengembang untuk menerapkan praktik pengembangan yang aman, seperti cara mereka harus mengkonfigurasi alat dan infrastruktur mereka untuk memastikan integritas, kerahasiaan, dan ketersediaan pekerjaan mereka.

Menurut Chris “Crob” Robinson, kepala arsitek keamanan di OpenSSF, ada tiga tingkat di garis dasar, tergantung pada jumlah kontributor dan pengelola. “Lusinan proyek open source ketika Anda memikirkan hal -hal seperti Kubernetes dan OpenStack, atau Kernel Linux, memiliki tim keamanan yang solid,” katanya. “Ada tingkat level dengan ribuan proyek dengan 2 hingga 100 agen tenaga kerja, maka Anda memiliki 16 juta proyek dengan satu manajer.”

Pengembang melakukan perjalanan internet untuk kode yang dapat memecahkan masalah, dan tanpa berpikir atau menunjukkan ketekunan yang masuk akal, mereka akan menangkapnya dan mengintegrasikan kode ini ke dalam operasi bisnis atau produk komersial, tanpa memahami apa konsekuensi dari penggunaan proyek tersebut.

Jadi apa yang telah dilakukan OpenSSF adalah membuat penyeberangan kepatuhan, yang dijelaskan Robinson “bahwa jika produsen atau perusahaan downnstream memiliki kewajiban peraturan atau mereka mengikuti kerangka cybersecurity NIST, kami telah memetakan garis dasar untuk semua rezim lainnya dan dan kerangka cybersecurity,, kami telah memetakan garis dasar untuk semua rezim lainnya dan dan kerangka keamanan cybersurity, kami telah memetakan garis dasar tersebut dan rezim lainnya dan dan kerangka keamanan cybersurity, kami telah memetakannya dengan semua rezim lainnya dan dan cybersecurity lainnya dan rezim lainnya dan dan rezim lainnya dan dan rezim lainnya dan dan rezim lainnya dan dan rezim lainnya dan dan rezim lainnya dan dan rezim lainnya dan dan rezim lainnya dan dan rezim lainnya dan rezim lainnya dan dan rezim lainnya dan tersebut dan rezim lainnya dan tersebut dan tersebut dan rezim lainnya dan tersebut dan tersebut dan rezim lainnya dan tersebut dan tersebut dan rezim lainnya dan Kerangka kerja untuk menunjukkan apakah pengembangan Anda atau perangkat lunak yang Anda gunakan mengikuti praktik dasar ini, untuk menunjukkan di mana Anda memiliki kasus yang bagus untuk menunjukkan dukungan kepada auditor atau regulator yang telah Anda tunjukkan ketekunan yang masuk akal.

Setiap tingkat model kematangan dasar mencantumkan persyaratan untuk rangkaian persyaratan keamanan minimum, yang mencakup bidang akses, konstruksi dan kontrol rilis, dokumentasi, tata kelola, hukum, kualitas, keamanan dan kerentanan.

Menggunakan kontrol akses sebagai contoh, tingkat kematangan 1 untuk pemeliharaan yang unik mensyaratkan bahwa otorisasi multi-pabrik ada untuk mengakses sistem kontrol versi. Level 2 memahami hal ini, tetapi menambahkan kapan Pekerjaan dianugerahi otorisasi di a Pipa CIKode sumber atau konfigurasi hanya mengaitkan hak istimewa minimum yang diperlukan untuk aktivitas yang sesuai. Dan Level 3 menambahkan aturan untuk komitmen dan penghapusan dari cabang kode utama. Ini adalah Daftar Persyaratan Lengkap Untuk setiap tingkat kedewasaan.

Robinson menambahkan bahwa OpenSS memberikan saran tentang di mana dia berpikir bahwa karakter akan diintegrasikan ke dalam berbagai tingkat kedewasaan. Langkah selanjutnya, katanya, adalah memberikan lebih banyak referensi dan dokumentasi sehingga orang bisa mendapatkan informasi dan lebih memahami konsep -konsepnya. “Jadi ketika saya menggunakan istilah seperti hak istimewa, [developers] Mungkin atau tidak mengerti ini, ”kata Robinson.

Apa yang tidak dipertimbangkan oleh perangkat lunak open source yang tidak dipertimbangkan oleh konsumen adalah bahwa sebagian besar proyek hulu ini bukan profesional cybersecurity. Ada serangkaian alasan mengapa seseorang menulis perangkat lunak gratis, dan sangat sedikit dari mereka yang dibayar untuk melakukannya. Mereka memberikan waktu dan keahlian mereka. Robinson menekankan bahwa pengelola ini “bukan karyawan Anda, dan Anda benar -benar tidak dapat membuat permintaan”.

Robinson mencatat bahwa kerentanan log4shell telah menyebabkan gelombang perusahaan komersial yang mengancam proses hukum terhadap pemeliharaan di bawah pemeliharaan, dengan permintaan untuk menyelesaikan masalah ini. “Tetapi jika Anda membaca perjanjian lisensi, sebagian besar perangkat lunak sumber terbuka diberikan tanpa jaminan dan tidak ada jaminan dukungan,” katanya. “Jadi, bagian dari motivasi saya untuk mencoba mendapatkan garis dasar adalah mendorong praktik yang baik dengan komunitas pengembangan, tetapi juga memberi mereka kesempatan untuk membela diri ketika orang hilir datang dan mulai melecehkan mereka, seperti:” Mengapa Anda tidak melakukan ini? “”