Linux基金会提出软件安全开发十项指导原则

日前，在日本东京举行的OpenSSF Day主题研讨活动上，Linux基金会旗下的非营利组织OpenSSF提出了旨在帮助企业组织开发更安全软件应用系统的十项指导原则。原则概述了软件系统的开发企业和服务商在开发过程中应该努力遵循的核心安全性最佳实践，并且强调了要在整个软件生命周期中采取积极主动的安全方法。

OpenSSF开源供应链安全主管David A. Wheeler表示，提出这些原则的初衷是希望企业组织能够采用这些方法开发出具有原生化安全能力的应用软件系统，实现安全能力左移。这些原则涵盖了一系列已被实践验证的安全保障措施，从安全功能融入设计到实现应用软件可观察性等不一而足。

具体原则内容包括：

1. 在软件开发过程中采用符合行业规范，并已被广泛应用的现代安全开发方法；
2. 要求软件开发人员学习和运用安全软件设计原则，比如最小权限原则等；
3. 要让开发团队了解最常见的漏洞类型，同时采取措施，在软件开发过程中阻止漏洞的引入或限制其影响；
4. 在软件系统正式发布前进行充分的安全性检查，发现并解决其中可能存在各类型漏洞，并在产品正式发布后实施持续性的漏洞监测措施；
5. 要加强对软件开发基础设施的保护，防止其受到恶意攻击或渗透，确保在此基础上开展的各项软件研发活动安全合规；
6. 企业应该优先考虑和能够遵守安全指导原则的软件开发商合作，并通过公开披露的安全指标数据及时评估软件供应商的风险态势。一旦发现恶意软件的迹象应该立即采取响应措施；
7. 要让软件系统的使用者能够了解软件供应链状态，并让其中的安全防护措施与不断发展的行业监管标准保持一致；
8. 企业应该制定负责人的漏洞管理和披露计划，这类计划应该包括对第三方代码引用的依赖项，并附有报告和补救漏洞的响应策略；
9. 企业应定期发布与行业最佳实践相一致的安全性公告；
10. 企业应该积极地与行业监管组织合作，并通过参与其活动，加强与业界同仁的经验交流。

Wheeler指出，对于希望实施这些安全指导原则的组织来说，可能会存在各种类型的困难。其中最大的挑战是开发文化。因为开发软件通常是为了实现某些特定的应用功能，而安全性往往不被考虑。因此，OpenSSF并不希望通过强制要求的方式去让每一家软件开发企业都去遵守这些原则，而是需要通过多种方式让企业真正理解、认同并参考应用。OpenSSF将会为希望实现这些原则的组织提供培训、工具和指导，从而推动这些原则的落地。

参考链接：

https://www.sdxcentral.com/articles/analysis/openssf-details-top-10-secure-software-development-principles/2023/12/