作者:Luke Hinds,Stacklok CTO 和联合创始人
今天,我很高兴地宣布,Stacklok 将我们的开源项目 Minder 贡献给开源安全基金会(OpenSSF)。Minder 使开发人员和安全团队更容易采用基于政策的开源软件安全方法;它减少了噪音,仅在必要时警报风险,自动修复不一致,并贯穿整个软件开发生命周期。
OpenSSF 是 Minder 的理想归宿,因为该基金会的目标是可持续地保护开源软件。社区中已经有许多强大的项目。我们创建并贡献 Minder,以使这些项目——所有这些创新——更容易集成和运营。与各行业的组织交谈后,我们知道对一个真正开放源代码的软件安全平台有着强烈的兴趣。领导者们明白,增强他们的安全态势的最佳方式是与开源社区更加紧密地合作。我们相信,Minder 可以填补这一空白。
“我们相信,采用基于政策的安全方法的组织更能走在威胁行为者的前面,”Google 开源安全团队负责人 Bob Callaway 说。“为此,Minder 为 OpenSSF 安全工具工作组带来了互补的能力。”
将 Minder 贡献给开源基金会是我们的一项重要承诺。这一承诺确保社区不仅可以采用 Minder,还能信任它在一个中立供应商的基金会治理之下。我们一直希望 OpenSSF 能成为这个基金会,因为我们不仅在价值观上认同,还在于一个能够涵盖 Minder 范围的以社区为中心的平台的重要性。在 Craig 和我创立 Stacklok 的那一刻,我们意识到这项捐赠根本不是问题。我们的原则要求我们做出这个捐赠。
对 Minder 社区的承诺
我们从一开始就将 Minder 视为一个开源项目;但我们也将其视为一个平台,而不仅仅是一个项目。我的联合创始人 Craig McLuckie 共同创建了 Kubernetes,正如 Kubernetes 为云原生计算提供了一个锚点,我们认识到开源软件安全同样需要这样的支持。
让我给你一个具体的例子:我们使用 Minder 来驱动我们的 Stacklok Cloud 产品。它从多个集成源获取数据,比如 OSV 漏洞数据库,或我们自己的开源依赖安全情报服务。然后,它通过 GitHub 提供者集成来使用这些数据,控制引入新依赖的拉取请求,以确保它们不引入如漏洞或恶意软件包等风险。
但 Stacklok Cloud 只是我们希望用 Minder 构建的产品。当我们与社区中有意在其组织内使用 Minder 的不同人士交谈时,我们看到他们有着独特的目标。但有一些共同的趋势:每个人都希望拥有一个能够整合不同工具和服务的软件开发生命周期平台,以便评估不同的政策,并产生不同的修复方案。
我们设计 Minder 作为一个平台,正是为了提供一个“大帐篷”,让人们能够在其上构建自己的工具和服务,解决与其 SDLC 相关的特定安全问题。这意味着,如果你对 Minder 的发展方向有既得利益,并希望确保你的声音被听到、意见被重视,你就可以获得在塑造 Minder 未来方面的平等伙伴关系保障。
对开源安全基金会的承诺
我们与 OpenSSF 的联系和承诺非常深厚。首先,Minder 与多个 OpenSSF 项目集成。Minder 使用 OSV 数据源提供有关依赖项的漏洞数据,使用 Sigstore 验证工件签名。我们还提供一个 Minder 配置文件——一组政策规则——以帮助你了解和改善你的 OpenSSF 评分卡分数。
当然,在开源社区中工作意味着始终要回馈。这对我尤其重要,因为我与 OpenSSF 的经历可以追溯到我最初将 Sigstore 贡献给 Linux 基金会,后来再贡献给 OpenSSF。Sigstore 现在是一个 OpenSSF 毕业项目。在我帮助将 Sigstore 贡献给 OpenSSF 后,我曾担任 OpenSSF 技术顾问委员会(TAC)成员,随后成为 OpenSSF 的管理委员会成员。
但这不仅仅是我;这是 Stacklok 文化的一部分。我们中的许多人都参与开源工作,特别是在 OpenSSF 支持的开源安全项目中。Stacklok 团队由 Sigstore、OpenVEX、Protobom 和 TUF 等项目的贡献者和维护者组成。
对 Stacklok 价值观的承诺
当 Craig 和我创立 Stacklok 时,我们首先做的一件事就是定义我们的文化。我们在定义时,强调的是我们的美德,而不是我们的价值观。两者之间的区别在于,美德是你每天都在生活和展示的东西。
我们的美德之一是“团结一致”。这在公司内部是如此——每个人都有自己的超能力,将他们聚集在一起意味着团队的实力超越个体之和。但这在开源社区中也是如此。社区的力量超过了其中各个项目的简单相加。
我们相信,如果 Minder 要成功作为其他安全工具的集成平台,它必须是一个开放治理的组织的一部分。Minder 需要与其他安全工具团结一致。为了证明这一点,我们必须将 Minder 贡献给 OpenSSF。否则与我们的公司文化不符。
我们为 OpenSSF 接纳 Minder 作为沙箱项目而感到自豪,并允许我们履行这些承诺。我鼓励你现在就开始探索 Minder——无论是使用还是贡献,欢迎访问 https://github.com/mindersec/minder。
点击【阅读原文】阅读网站原文。
文章转载自LFAPAC。点击这里阅读原文了解更多。
CNCF概况(幻灯片)
扫描二维码联系我们!
CNCF (Cloud Native Computing Foundation)成立于2015年12月,隶属于Linux Foundation,是非营利性组织。
CNCF(云原生计算基金会)致力于培育和维护一个厂商中立的开源生态系统,来推广云原生技术。我们通过将最前沿的模式民主化,让这些创新为大众所用。请关注CNCF微信公众号。
