简介:CII最佳实践徽章 - CNCF毕业标准要求之一

从沙箱或孵化状态毕业,或者作为一个新项目加入作为一个毕业项目,项目必须符合孵化阶段标准以及:

  • 有来自至少两个机构的提交者。
  • 已经实现并维护了核心基础结构计划(CII)的最佳实践徽章。
  • 采用CNCF行为准则。
  • 明确定义项目治理和提交者流程。这最好在GOVERNANCE.md文件中进行,并引用OWNERS.md文件显示当前和荣誉提交者。
  • 至少在主要仓库提供项目采用者的公开列表(例如,ADOPTERS.md文件或项目网站上的徽标)。
  • 获得TOC的绝对多数选票进入毕业阶段。如果项目能够表现出足够的成熟度,项目可以尝试直接从沙箱移动到毕业。项目可以无限期地保持在孵化状态,但通常预计在两年内毕业。

这里介绍一下其中的核心基础结构计划(CII)的最佳实践徽章。

简介:CII最佳实践徽章 - CNCF毕业标准要求之一_第1张图片

CII最佳实践徽章计划

Linux基金会(LF)的核心基础设施计划(Core Infrastructure Initiative,CII)最佳实践徽章是Free/Libre和开源软件(FLOSS)项目用于表明它们遵循最佳实践的一种方式。项目可以自愿进行自我认证,通过使用此Web应用程序来解释他们如何遵循每种最佳实践。CII最佳实践徽章的灵感来自GitHub项目众多可获得的徽章系统。徽章的使用者可以快速评估哪些FLOSS项目遵循最佳实践,因而更有可能生成更高质量的安全软件。

最佳实践标准“合格”("passing")级别摘要

这是合格标准的摘要,有关详细信息,请参阅完整的标准列表:

  • 有一个稳定的网站,说名:

    • 它做什么
    • 如何获得
    • 如何提供反馈
    • 如何贡献和首选风格
  • 明确指定FLOSS许可证
  • 项目网站支持HTTPS
  • 文档记录如何安装和运行(安全地)以及任何API
  • 有分布式公共版本控制系统,包括版本之间的变化:

    • 使用语义版本控制格式为每个发布提供唯一版本
    • 提供每个发布的更改摘要,识别任何已修复的漏洞
  • 允许提交、存档和跟踪错误报告:

    • 确认/响应错误和增强请求,而不是忽略它们
    • 有安全的、记录在案的流程来报告漏洞
    • 在14天内回复,并在60天内修复漏洞,如果漏洞是公开的
  • 使用标准的开源工具作有效的构建

    • 启用(并修复)编译器警告和类似lint的检查
    • 执行其他静态分析工具并修复可被攻击利用的问题
  • 拥有涵盖大部分代码/功能的自动化测试套件,并正式要求对新代码进行新的测试
  • 自动运行所有更改的测试,并应用动态检查:

    • 执行内存/行为分析工具(sanitizers/Valgrind等)
    • 执行模糊测试器(fuzzer)或Web扫描程序
  • 有开发者了解安全软件和常见漏洞错误
  • 如果使用加密:
  • 使用公共协议/算法

    • 不要重新实现标准功能
    • 使用开源加密技术
    • 使用保持安全的密钥长度
    • 不要使用已知损坏或已知弱算法
    • 使用具有前向保密性的算法
    • 使用密钥拉伸算法,使用迭代、加盐和哈希值存储任何密码
    • 使用加密随机数源

Kubernetes的最佳实践徽章

  • https://bestpractices.coreinf...

Prometheus的最佳实践徽章

  • https://bestpractices.coreinf...

Envoy的最佳实践徽章

  • https://bestpractices.coreinf...

2019年KubeCon + CloudNativeCon中国论坛提案征集(CFP)现已开放

KubeCon + CloudNativeCon 论坛让用户、开发人员、从业人员汇聚一堂,面对面进行交流合作。与会人员有 Kubernetes、Prometheus 及其他云原生计算基金会 (CNCF) 主办项目的领导,和我们一同探讨云原生生态系统发展方向。

2019年中国开源峰会提案征集(CFP)现已开放

在中国开源峰会上,与会者将共同合作及共享信息,了解最新和最有趣的开源技术,包括 Linux、容器、云技术、网络、微服务等;并获得如何在开源社区中导向和引领的信息。

大会日期:

  • 提案征集截止日期:太平洋标准时间 2 月 15 日,星期五,晚上 11:59
  • 提案征集通知日期:2019 年 4 月 1 日
  • 会议日程通告日期:2019 年 4 月 3 日
  • 幻灯片提交截止日期:6 月 17 日,星期一
  • 会议活动举办日期:2019 年 6 月 24 至 26 日

2019年KubeCon + CloudNativeCon + Open Source Summit China赞助方案出炉啦

你可能感兴趣的:(安全性测试,安全防护,安全性,安全,安全证书)