OSPO如何成為開源可持續性和安全性的關鍵槓桿

作者：Ana Jiménez Santamaría（TODO工作組）和David A. Wheeler（Linux基金會）

一個設計完善的開源專案辦公室（OSPO），如果存在，就是一個組織的開源運營和治理結構的能力中心。 正如TODO工作組和Linux基金會人工智慧（AI）與資料釋出的近期深度研究報告中所描述的那樣   ()  ，OSPO透過以下方式使全世界的組織受益：

1. 實施獨特和靈活的工具集，支援開源軟體（OSS）的開發模式，同時滿足企業的資訊科技準則；

2. 監督內部政策的建立或調整，在快速變化的動態環境中更好地管理OSS的合規性；

3. 幫助跨越傳統軟體開發實踐和開源開發要求之間的文化鴻溝；

4. 改善技術指導以及針對企業內各層級團隊成員開展的合規性教育和培訓方案。

實現行政支援、資金、軟體開發實踐和OSS專案優先順序的延續性

一個OSPO的角色可以包括設定程式碼使用、分發、挑選、審計和其他政策，以及培訓開發人員、確保法律合規性或提升並逐漸增強社群參與度。這一點很重要，因為現代軟體應用要麼都是開源軟體（OSS），要麼大部分是OSS。OSPO領導者需要為一個企業的開源工作承擔正確的職能，首要任務之一是協助保障開源技術和最佳實踐。

OSPO在建立開源的可持續性和安全性方面發揮著重要作用。TODO工作組已經開發出一個清單，裡面列出了我們對於OSPO可以開始在你的企業中提升開源可持續性和安全性的建議方式。

OSPO可成為開源可持續性和安全性的關鍵槓桿的方法：

1. 注重教育  - 讓你公司每個使用或為OSS作出貢獻的開發者學習如何開發安全軟體，例如，透過參加免費的開發安全軟體教育模組 ()  。
2. 對開發者賬戶使用多重驗證 (MFA)  - MFA使攻擊者更難透過控制開發者賬戶來進行惡意修改（例如，在Github  (https://docs.github.com/en/authentication/securing-your-account-with-two-factor-authentication-2fa/configuring-two-factor-authentication) ）。
3. 在你的CI管道中使用各種工具組合來檢測漏洞 。請參考 《OpenSSF安全工具指南》  (https://github.com/ossf/wg-security-tooling/blob/main/guide.md) 。工具應該不是唯一的機制，但它們可以擴充套件。例如，安全程式碼掃描器（靜態應用安全測試（SAST）工具）分析原始碼，可以報告可能存在漏洞的區域，而軟體元件分析（SCA）/依賴分析工具可以警告你依賴中的已知漏洞。
4. 當專案作為OSS進行評估、捐獻和釋出時 ， 採用OpenSSF最佳實踐徽章標準  ()。
5. 使用OpenSSF記分卡度量OSS專案  () 。
6. 簽署貢獻協議  - 需要來自你組織的貢獻者使用DCO簽署提交，以增加對程式碼可被合法授權並可以在開源專案中使用它們的信心。

7.  採用sigstore - 簽署、驗證和保護軟體的新標準 (https://www.sigstore.dev/) 。

8.  釋出和使用軟體材料清單（SBOM）， 其中一種格式是SPDX  (https://spdx.dev/specifications/) 。

9.  用專案健康跟蹤工具監測和跟蹤開源專案的整體健康狀況，如Linux基金會的LFX  () 和CHAOSS工具包 ()  。

10.  識別相關的指導，並與開發者分享 - 例如《OpenSSF簡明指南》中的開發安全軟體  (https://github.com/ossf/wg-best-practices-os-developers/blob/main/docs/Concise-Guide-for-Developing-More-Secure-Software.md#readme)  和評估開源軟體  (https://github.com/ossf/wg-best-practices-os-developers/blob/main/docs/Concise-Guide-for-Evaluating-Open-Source-Software.md#readme) 。

11.  在社群之間建立雙向交流 - 建立和培養社群之間的雙向交流。你現在可以在OSPO論壇新的OSPO意願清單類別中留下你的申請  ( https://github.com/todogroup/ospology/discussions/categories/ospo-wishlist)。

12.  參與社群討論 - 參與OpenSSF工作組 () ，並加入我們的 新活動"OSPOlogy.live"  () 。

我們不僅推薦把這些建議牢記於心，還建議OSPO可以利用他們在企業中的戰略地位驅動這些建議成為員工/利益相關者/團隊應該（甚至必須）遵守的政策。這可能是一個有用的手段，特別是在處理企業的利益相關者如何參與OSS這個問題時。當企業想確保他們的員工不會犯錯導致下一個類似log4shell事件的問題發生時，如何處理這個問題尤其重要。

參與新的 活動 OSPOlogy.live

TODO工作組正在與OpenChain、CHAOSS、SPDX和OpenSSF社群一起在歐洲舉辦線下研討會， 我們正在為當中的新 活動OSPOlogy.live 徵集內容和演講嘉賓。OPSOlogy.live倡議的目的是將參與OSPO特定主題的各個社群聚集在一起，幫助企業根據特定領域的需求有效地實施OSPO計劃。 

主題將包括：

• 安全地使用開源，實現許可協議合規
• 開源可持續性
• 回饋社群
• 確保OSS的安全

目前，在 歐洲不同國家舉辦 OSPOlogy 研討會的工作已經在進行中，每季度重點討論OSPO的不同職責，我們邀請你一起合作 (https://todogroup.org/blog/new-framework-in-person-ospo-workshops/) 。 

OSPOlogy.live 瑞典研討會

旨在幫助各企業根據具體領域需求有效實施OSPO的第一場OSPO.live 線下研討會將於10月19-20日在斯德哥爾摩舉行，由愛立信的OSPO主辦，TODO、OpenChain、SPDX、CHAOSS和OpenSSF等專案協辦。OSPOlogy.live瑞典研討會 現已開放 註冊 

( ) 。