报告核心观点 - 提出向Linux基金会构建并运营名为信任与安全倡议（TSI）的项目的提案，及其他需投资和帮助的安全问题的建议 [4] - TSI包含八项最佳实践及认证计划，旨在提升开源项目的安全性，且该提案基于此前行业大规模实施软件安全的工作，借鉴微软的可信计算（TWC）和安全开发生命周期（SDL），并针对开源社区和现代软件开发团队进行调整 [5][6] - 实施TSI最佳实践虽不能完全避免安全问题，但能提升软件安全性和用户信心，且该方案会根据反馈和采用情况不断更新和完善 [8] 各部分总结 概述 - 软件安全面临挑战，但有解决的希望，此前已有实现软件安全的经验，且可根据团队文化匹配技术和工具，减少对开发的影响 [11][12] - 文档分为八项最佳实践、认证计划和其他需投资和帮助的安全问题三个主要部分，各部分采用先说明意图和目标，再以表格形式描述具体实践的结构，且该方案可灵活实施 [13][14] 八项最佳实践 角色与职责 - 明确团队安全计划中各角色的职责，缺乏明确角色和职责是导致安全问题的重要原因 [22] - 包括指定首席安全官、首席安全工程师、首席安全架构师等角色，确保每个人了解自己的安全职责，并参加相关培训，大型项目可设立专职安全团队 [23][25] 安全策略 - 定义团队安全计划的内容，组织应发布安全策略，包括组织级和项目级的策略，并确保相关人员阅读和确认 [27][28] 了解贡献者 - 目的是让组织信任贡献者，消费者信任软件，可通过验证贡献者身份、使用强认证、基于角色的访问控制、实施贡献者许可协议和公布贡献者列表等措施实现 [30][31][33] 软件供应链 - 软件供应链攻击常见，需锁定工具链并验证其中的内容，如仅接受拉取请求、使用受保护分支、数字签名提交、立即处理安全问题等 [35][36] 技术安全指南 - 技术安全指南可缩小安全解决方案范围，Linux基金会可维护核心技术指南并允许组织扩展和定制，包括应用安全、操作系统安全配置、云安全配置等指南 [42][43] 安全剧本 - 定义特定安全流程的执行方式，如事件响应和漏洞管理流程，Linux基金会可开发和维护集中的剧本并允许组织定制 [47][48] 安全测试 - 描述多种安全测试技术，优先推荐自动化测试，也包括一些手动测试，如安全检查、威胁建模、静态分析安全测试等 [50][51] 安全发布和更新 - 对最终用户很重要，组织应定义安全发布标准，对发布进行数字签名，发布安全构建证书，公布不安全版本信息并实施自动安全更新系统 [58][59] 认证计划 - 可基于云安全联盟（CSA）的STAR计划模式构建和运营认证计划，该计划对软件生产者、消费者和安全咨询行业都有好处，Linux基金会可提供相关资源和优惠 [63][64][66] 其他需投资和帮助的安全问题 安全构建证书 - 行业面临难以了解产品安全性的问题，建议Linux基金会构建规范和工具，生成可附加到软件发布的安全构建证书，以提高开源软件和互联网的安全质量 [69][70] 缺乏优秀的开源安全测试工具 - 缺乏可信的免费开源安全测试工具阻碍了安全测试的广泛应用，建议Linux基金会投资开发，可参考一些有前景的项目，并推荐Jacob West领导该工作 [73][74][77] 开源软件包分发对互联网构成风险 - 开源软件包分发存在问题，建议Linux基金会开发和运营中央库分发系统，并内置适当的安全功能 [79] 漏洞披露存在问题 - 通用漏洞披露（CVE）系统存在格式、披露流程、规模和商业冲突等问题，需要重新思考适用于DevOps和开源时代的漏洞披露方式 [82][83][85]