OpenSSF发布4份开源软件安全指南，涉及使用、开发、漏洞报告和包管理等环节

董国伟代码卫士 2022-11-01

收录于合集

#供应链安全 201 个

#SCA 49 个

#开源 302 个

聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

8月底至9月上旬，OpenSSF接连发布了4项有关开源软件安全的指南，包括《评估开源软件的简明指南》、《安全研究人员与开源软件项目协同漏洞披露(CVD)指南》、《开发更安全软件的简明指南》、《NPM最佳实践指南》，给出了开源软件使用、开发、漏洞报告、包管理等方面的安全最佳实践。本文介绍了这些指南的主要核心内容。

*《NPM最佳实践指南》可参见：

https://openssf.org/resources/guides/

1、《评估开源软件的简明指南》

软件开发人员在使用开源软件依赖项或工具之前，基于安全性和可持续性的考虑，应该对其潜在的依赖关系进行评估，以确定候选，该指南即提供此方面的指导。

指南共包括9个方面：(1) 是否尽量减少依赖的数量(使用现有的依赖关系，不再增加)；(2) 是否确保版本来源安全(非个人发布或攻击者控制的版本)；(3) 是否有持续的维护；(4) 是否有其开发者增强安全性的证明；(5) 是否易于进行安全配置；(6) 是否有关于如何报告漏洞的说明；(7) 是否有重要用途；(8) 是否考虑了许可证的影响；(9) 对其代码的评价。

未得到维护的开源软件是一种风险。对于开源软件持续维护的评估，指南列出了近期重大活动、最后一次发布时间、维护者的数量等5方面指标。奇安信代码安全实验室于2021和2022年发布的两份《中国软件供应链安全分析报告》（具体可见文末“推荐阅读”部分）也关注到了这一领域，通过对开源生态中一年未更新版本、一年更新超100次的开源软件数量，以及关键基础开源软件的维护状况进行统计，发现开源软件维护方面的现状不容乐观。

开发者增强安全性的证明方面，指南列出了11项评估指标，包括是否具备OpenSSF最佳实践徽章、是否检查了开源软件的OpenSSF记分卡值和已知漏洞、依赖项是否是最新的、是否及时修复了bug特别是安全bug、是否使用SAFECode《软件保障评价指导原则》、对于OpenChain《安全保障参考指南》的符合性如何等。

对开源软件代码的评价方面，指南列举的指标包括开发人员使用安全的开发方法、静态分析工具发现的首要问题等6项。

2、《安全研究人员与开源软件项目协同漏洞披露(CVD)指南》

该指南是由OpenSSF的漏洞披露工作组和个人贡献者共同完成的，旨在将安全缺陷负责任地报告给软件维护人员，以评估并修复它们，同时通知下游消费者；是一组能够为漏洞发现者在CVD之前、期间和之后提供高层次选择视角的指导方针。

在披露之前，指南建议：(1) 了解项目处理漏洞的方式，即安全策略，包括电子邮件、问题跟踪器等漏洞报告途径，漏洞报告奖励和保密条款等；(2) 编写便于理解和披露的报告；(3) 提供有用的信息，包含足够的漏洞细节，如发现的问题、易受攻击的版本、发现漏洞的步骤、源码中易受攻击的行号、被利用的危害、建议的补救措施等。

披露时，指南建议：(1) 尽早声明关于漏洞披露的目标和期望，以便各方了解约定的边界；(2) 披露选择项，如下表所示，建议每一项应由安全研究人员和项目共同完成。

此外，指南还为解决CVD的常见挑战，如项目维护者不认为报告的是安全问题等提供了建议。

3、《开发更安全软件的简明指南》

该指南是针对所有软件开发人员在软件开发、构建和发布时的简明指南，共25条建议，主要覆盖4个方面的内容。依赖项安全性方面，该指南建议：在选择软件作为直接依赖项之前对其进行评估（基于《评估开源软件的简明指南》），只在需要时添加，并再次检查其名称，以防止误植域名攻击；使用包管理器自动管理依赖项并支持快速更新；使用软件成分分析(SCA) 工具等持续监测软件直接和间接依赖项中的已知漏洞，快速更新易受攻击的依赖项；将依赖项更新至最新版本。漏洞分析和报告方面，该指南建议：在CI管道中使用多种工具的组合来检测漏洞；实现自动化测试；实施第三方安全代码审查/审计；重点记录如何报告漏洞并为其做好准备（参考《安全研究人员与开源软件项目协同漏洞披露(CVD)的指南》）；将项目中的漏洞通知社区。增强完整性、透明性和维护水平方面，该指南建议：使用标准工具和签名格式为项目的重要发行版本签名；提高SLSA级别，以加强构建和分发过程的完整性从而抵御攻击；发布并使用软件物料清单(SBOM)，以帮助用户验证资产、识别已知的漏洞和潜在的法律问题；有清晰的管理，并努力增加积极的、值得信赖的维护者；确保特权开发人员使用多因子身份验证。已有评估标准和方法实施方面，该指南建议：为开源项目获得一个“OpenSSF最佳实践徽章”；提高项目的“OpenSSF记分卡”得分（如果是GitHub上的OSS）；采用了CNCF《软件供应链最佳实践指南》；实施了ASVS并遵循相关内容；采用了SAFECode《安全软件开发基本实践》。

4、《NPM最佳实践指南》

根据奇安信代码安全实验室《2022中国软件供应链安全分析报告》公布的数据，截止2021年底，NPM中开源项目的数量达1892984个，占主流开源软件包生态系统开源项目总数的43.1%，NPM以绝对优势成为开源项目数量最多的开源包生态系统。该指南旨在成为一份介绍在使用NPM的包管理器时安全供应链最佳实践的全面文档，是对官方NPM文档的补充。指南包括CI配置、依赖管理、发布和私有包4个方面的最佳实践内容，其中依赖管理是主要部分，依赖管理的核心内容如下表所示。

私有包方面的最佳实践针对依赖混淆攻击，该类攻击大多发生在项目依赖于内部registry的私有包时，指南建议使用作用域(Scopes)来保障NPM能够获取正确的依赖。具体而言，对于公共NPM registry，因受作用域限定的包只能由相关用户或组织发布，因此指南建议，该作用域内的包可被设为私有、作用域名可被链接到给定的registry；对于私有registry，指南建议，仅使用支持作用域的私有registry、私有包不可变、关注构建失败的情况并修复。

*本文作者：董国伟，虎符智库专家，奇安信集团代码安全实验室高级专家，博士，从事网络安全、软件安全、代码审计和漏洞分析相关工作近20年。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2022中国软件供应链安全分析报告》全文

在线阅读版：《2021中国软件供应链安全分析报告》全文

美国政府发布联邦机构软件安全法规要求，进一步提振IT供应链安全

美国软件供应链安全行动中的科技巨头们

Apache开源项目 Xalan-J 整数截断可导致任意代码执行

谷歌推出开源软件漏洞奖励计划，提振软件供应链安全

黑客攻陷Okta发动供应链攻击，影响130多家组织机构

Linux和谷歌联合推出安全开源奖励计划，最高奖励1万美元或更多