OpenSSF 发布开源消费宣言以优化开源软件使用

为了更加明智地体现开源软件 (OSS) 的优势，开源安全基金会 (OpenSSF) 推出了开源消费宣言 (OSCM)。与标志性的敏捷宣言类似，OSCM 是一份由核心价值观强化的文档，包含 15 条旨在简化开源使用的指导原则。

开源软件无疑是新兴创新和运营效率的一剂强心剂。然而，众所周知的事实是，不同的 OSS 项目在质量和安全性方面存在明显差异。因此，OpenSSF 强调了许多组织缺乏使用 OSS 的战略方法。

尽管 OSS 可能很方便，但它也有自己的缺陷。在 OSS 的评估过程中，特别是与第三方软件相比，我们发现了令人震惊的疏忽。至少可以说，它在安全性、代码质量和许可方面受到的审查是不够的。正如 OpenSSF 最终用户工作组指出的那样，这会导致重大风险因素悄然出现。

虽然第三方软件不太可能包含恶意内容，但对于那些不熟悉 OSS 复杂性的人来说，在下载阶段就会出现风险。 Sonatype 联合创始人兼首席技术官 Brian Fox 在与 SD Times 讨论 OSS 消耗陷阱时表示，我们发现 96% 的情况下，当修复版本已经可用时，就会下载易受攻击的组件。

认识到这些问题后，OpenSSF 最终用户工作组立即采取行动，设计出一种方法来纠正这一问题。在一系列讨论的指导下，他们提出了《开源消费宣言》。 OSCM 不是一条严格的戒律，而是倡导包容性事业，其形状是根据多个学科的意见塑造的，其文本根据使用它的个人进行完善。

该宣言包括一些关键条款，例如通过对与已知漏洞和有害软件包相关的组件进行审核和隔离功能来增加开源消耗。

应对故意有害组件威胁的关键措施是建立一个全面的跟踪系统来监控组件消耗。福克斯补充说，将其与数据和行为源相结合，使您的系统能够实时调用某些内容是否应该被批准或指定待详细审查。

对于开始走上开源软件可观察性道路的组织来说，首先按重要性对其应用程序进行分类是富有成效的。接下来应该编制嵌入在这些应用程序中的 OSS 清单（通常通过软件物料清单），并找出不同的供应商。据 Fox 称，目前相当多的开发团队还没有准备好这些重要组件。

然后，明智的做法是寻找多个供应商用于同一功能的实例，例如使用各种日志框架。接下来应该通过评估最好的供应商的安全软件开发实践来瞄准他们。已知漏洞、软件年龄、受欢迎程度、修补问题所需的平均时间等因素应决定此评估。

每个组织都需要根据自己的风险偏好和上述分析来调整其决策。虽然存在某些标准风险承受能力，例如在处理 PII 数据的应用程序中查找已知的关键漏洞，但创建 OSS 消耗策略意味着将其集成到整个 SDLC（从开发到 CI/CD，最重要的是在发布时）。

在当前充斥着各种no-code和low-code平台的环境中，采用 OSCM 等措施至关重要。 AppMaster 是一款用于创建后端、Web 和移动应用程序的综合性no-code工具，它重申了 OSS 的重要性，并强制执行 OSCM 等手段来降低风险并提高生产力。对于组织来说，要充分利用开源的力量，最大限度地减少潜在风险和低效率至关重要，而 OSCM 可以在这方面提供显着帮助。