简介:CII最佳实践徽章 – CNCF毕业标准要求之一

76次阅读

共计 1710 个字符,预计需要花费 5 分钟才能阅读完成。

从沙箱或孵化状态毕业,或者作为一个新项目加入作为一个毕业项目,项目必须符合孵化阶段标准以及:

有来自至少两个机构的提交者。
已经实现并维护了核心基础结构计划(CII)的最佳实践徽章。
采用 CNCF 行为准则。
明确定义项目治理和提交者流程。这最好在 GOVERNANCE.md 文件中进行,并引用 OWNERS.md 文件显示当前和荣誉提交者。
至少在主要仓库提供项目采用者的公开列表(例如,ADOPTERS.md 文件或项目网站上的徽标)。
获得 TOC 的绝对多数选票进入毕业阶段。如果项目能够表现出足够的成熟度,项目可以尝试直接从沙箱移动到毕业。项目可以无限期地保持在孵化状态,但通常预计在两年内毕业。

这里介绍一下其中的核心基础结构计划(CII)的最佳实践徽章。

CII 最佳实践徽章计划
Linux 基金会(LF)的核心基础设施计划(Core Infrastructure Initiative,CII)最佳实践徽章是 Free/Libre 和开源软件(FLOSS)项目用于表明它们遵循最佳实践的一种方式。项目可以自愿进行自我认证,通过使用此 Web 应用程序来解释他们如何遵循每种最佳实践。CII 最佳实践徽章的灵感来自 GitHub 项目众多可获得的徽章系统。徽章的使用者可以快速评估哪些 FLOSS 项目遵循最佳实践,因而更有可能生成更高质量的安全软件。
最佳实践标准“合格”(”passing”)级别摘要
这是合格标准的摘要,有关详细信息,请参阅完整的标准列表:

有一个稳定的网站,说名:

它做什么
如何获得
如何提供反馈
如何贡献和首选风格

明确指定 FLOSS 许可证
项目网站支持 HTTPS
文档记录如何安装和运行(安全地)以及任何 API

有分布式公共版本控制系统,包括版本之间的变化:

使用语义版本控制格式为每个发布提供唯一版本
提供每个发布的更改摘要,识别任何已修复的漏洞

允许提交、存档和跟踪错误报告:

确认 / 响应错误和增强请求,而不是忽略它们
有安全的、记录在案的流程来报告漏洞
在 14 天内回复,并在 60 天内修复漏洞,如果漏洞是公开的

使用标准的开源工具作有效的构建

启用(并修复)编译器警告和类似 lint 的检查
执行其他静态分析工具并修复可被攻击利用的问题

拥有涵盖大部分代码 / 功能的自动化测试套件,并正式要求对新代码进行新的测试

自动运行所有更改的测试,并应用动态检查:

执行内存 / 行为分析工具(sanitizers/Valgrind 等)
执行模糊测试器(fuzzer)或 Web 扫描程序

有开发者了解安全软件和常见漏洞错误
如果使用加密:

使用公共协议 / 算法

不要重新实现标准功能
使用开源加密技术
使用保持安全的密钥长度
不要使用已知损坏或已知弱算法
使用具有前向保密性的算法
使用密钥拉伸算法,使用迭代、加盐和哈希值存储任何密码
使用加密随机数源

Kubernetes 的最佳实践徽章
https://bestpractices.coreinf…
Prometheus 的最佳实践徽章
https://bestpractices.coreinf…
Envoy 的最佳实践徽章
https://bestpractices.coreinf…

2019 年 KubeCon + CloudNativeCon 中国论坛提案征集(CFP)现已开放
KubeCon + CloudNativeCon 论坛让用户、开发人员、从业人员汇聚一堂,面对面进行交流合作。与会人员有 Kubernetes、Prometheus 及其他云原生计算基金会 (CNCF) 主办项目的领导,和我们一同探讨云原生生态系统发展方向。
2019 年中国开源峰会提案征集(CFP)现已开放
在中国开源峰会上,与会者将共同合作及共享信息,了解最新和最有趣的开源技术,包括 Linux、容器、云技术、网络、微服务等;并获得如何在开源社区中导向和引领的信息。
大会日期:

提案征集截止日期:太平洋标准时间 2 月 15 日,星期五,晚上 11:59
提案征集通知日期:2019 年 4 月 1 日
会议日程通告日期:2019 年 4 月 3 日
幻灯片提交截止日期:6 月 17 日,星期一
会议活动举办日期:2019 年 6 月 24 至 26 日

2019 年 KubeCon + CloudNativeCon + Open Source Summit China 赞助方案出炉啦

正文完
 0