Open Source Security Foundation (OpenSSF) je pokrenuo Open Source Project Security Baseline (OSPS Baseline), višeslojni okvir dizajniran za standardizaciju sigurnosnih praksi za Linux i druge projekte otvorenog koda.
Ova inicijativa, usklađena sa globalnim propisima o sajber bezbjednosti, kao što su Zakon EU o sajber otpornosti (CRA) i NIST Secure Software Development Framework (SSDF), pruža mjere kontrole za ublažavanje rizika u lancima nabavke softvera.
OSPS Baseline kategorizuje zahtjeve u tri nivoa zrelosti: nivo 1 za projekte u nastajanju, nivo 2 za uspostavljene baze koda sa višestrukim održavačima i nivo 3 za široko prihvaćene projekte.
Svaki nivo uvodi granularne kontrole u pet domena: Kontrola pristupa , Izrada i izdavanje, Dokumentacija, Kvalitet i Pravni.
Ključni tehnički mandati uključuju:
- Provođenje višefaktorske autentifikacije (MFA) za saradnike sladišta koji rukuju osjetljivim podacima.
- Zahtijevanje jedinstvenih identifikatora verzije (npr. SemVer, CalVer) za izdanja za praćenje sigurnosnih zakrpa.
- Održavanje nepromjenjivih, javno revidiranih dnevnika kontrole verzija sa detaljima o promjenama i doprinosima.
- Konfiguriranje CI/CD cjevovoda s pristupom s najmanjim privilegijama kako bi se spriječila eskalacija privilegija putem nepouzdanih ulaza.
„Uspostavljanjem višeslojnog okvira koji se razvija sa zrelošću projekta, OSPS Baseline ovlaštava održavaoce i saradnike da usvoje najbolje sigurnosne prakse koje su skalabilne i održive“, Christopher Robinson, OpenSSF glavni sigurnosni arhitekta
Usvajanje od strane glavnih projekata Linux ekosistema
Rani korisnici uključuju alate za upravljanje zavisnostima kao što su GUAC i bomctl, koji su implementirali OSPS-VM-04.01 radne tokove izveštavanja o ranjivosti.
OpenTelemetry je usvojio OSPS-BR-05.01 build pipeline hardening, dok je OpenVEX integrisao automatizovano generisanje SBOM-a prema OSPS-QA-02.01.
“Dobili smo korisne povratne informacije od projekata uključenih u pilot implementaciju, uključujući usvajanje obaveza od strane GUAC-a, OpenVEX-a, bomctl-a i Open Telemetry”, rekla je Stacey Potter, nezavisna menadžerica zajednice otvorenog koda, nakon što je pomogla u vođenju OSPS Baseline pilot napora.
„Naš cilj je da se riješimo nagađanja i pomognemo održavaocima da se osjećaju sigurni u to gdje se nalaze, bez dodavanja dodatnog stresa.”
„ Izdanje OSPS Baseline je važan korak ka efikasnom rješavanju sigurnosti i otpornosti projekata otvorenog koda“, Eddie Knight, voditelj Ureda otvorenog koda u Sonatype i voditelj OSPS Baseline projekta.
„Upravnici otvorenog koda, proizvođači koji se oslanjaju na open source i krajnji korisnici će imati dugoročnu korist jer ovi kriteriji definisani u zajednici obasjavaju najbolje prakse sigurnosti projekta.”
Posebno, Cloud Native Computing Foundation (CNCF) planira integrisati OSPS provjere u svoje alate za reviziju zasnovane na SLSA.
Programeri mogu pristupiti OSPS Baseline specifikaciji na baseline.openssf.org i doprinijeti putem #sig-security-baseline OpenSSF Slack kanala.
Predstojeća poboljšanja uključuju Ansible playbooks za automatsku implementaciju i SPDX 3.0 usklađivanje profila.
Izvor: CyberSecurityNews