OpenSSF发布4份开源软件安全指南，涉及使用、开发、漏洞报告和包管理等环节

软件开发人员在使用开源软件依赖项或工具之前，基于安全性和可持续性的考虑，应该对其潜在的依赖关系进行评估，以确定候选，该指南即提供此方面的指导。

指南共包括9个方面：(1) 是否尽量减少依赖的数量(使用现有的依赖关系，不再增加)；(2) 是否确保版本来源安全(非个人发布或攻击者控制的版本)；(3) 是否有持续的维护；(4) 是否有其开发者增强安全性的证明；(5) 是否易于进行安全配置；(6) 是否有关于如何报告漏洞的说明；(7) 是否有重要用途；(8) 是否考虑了许可证的影响；(9) 对其代码的评价。

未得到维护的开源软件是一种风险。对于开源软件持续维护的评估，指南列出了近期重大活动、最后一次发布时间、维护者的数量等5方面指标。奇安信代码安全实验室于2021和2022年发布的两份《中国软件供应链安全分析报告》（具体可见文末“推荐阅读”部分）也关注到了这一领域，通过对开源生态中一年未更新版本、一年更新超100次的开源软件数量，以及关键基础开源软件的维护状况进行统计，发现开源软件维护方面的现状不容乐观。

开发者增强安全性的证明方面，指南列出了11项评估指标，包括是否具备OpenSSF最佳实践徽章、是否检查了开源软件的OpenSSF记分卡值和已知漏洞、依赖项是否是最新的、是否及时修复了bug特别是安全bug、是否使用SAFECode《软件保障评价指导原则》、对于OpenChain《安全保障参考指南》的符合性如何等。

对开源软件代码的评价方面，指南列举的指标包括开发人员使用安全的开发方法、静态分析工具发现的首要问题等6项。

该指南是由OpenSSF的漏洞披露工作组和个人贡献者共同完成的，旨在将安全缺陷负责任地报告给软件维护人员，以评估并修复它们，同时通知下游消费者；是一组能够为漏洞发现者在CVD之前、期间和之后提供高层次选择视角的指导方针。

在披露之前，指南建议：(1) 了解项目处理漏洞的方式，即安全策略，包括电子邮件、问题跟踪器等漏洞报告途径，漏洞报告奖励和保密条款等；(2) 编写便于理解和披露的报告；(3) 提供有用的信息，包含足够的漏洞细节，如发现的问题、易受攻击的版本、发现漏洞的步骤、源码中易受攻击的行号、被利用的危害、建议的补救措施等。

此外，指南还为解决CVD的常见挑战，如项目维护者不认为报告的是安全问题等提供了建议。