分享平台工程、应用部署的最佳实践

1998年，Christine Peterson创造了 “开源软件”这个词。她解释道：“这是刻意为之，为了让其他人更容易理解这个领域”。同年，O’Reilly组织了首届“开源峰会”。开源软件受到更多人青睐原因在于，用户对软件拥有更多的控制权因为他们可以检查代码。对于长期项目来说，开源软件被认为是稳定的，因为这些项目遵循开放的标准，即便维护者停止工作，也不会凭空消失。活跃的开发者社区十分重要。比起闭源软件，开源需要更多地考虑安全问题，因为任何人都可以查看并修改代码。贡献者可以发现错误并提交一个PR对代码进行变

近日，业内知名机构 Sonatype 在本月18号的 DevOps 企业大会上发布其年度软件供应链现状报告。本文为你总结该报告的关键信息，带你了解今年的软件供应链安全状况。

开源软件无处不在。无论是哪个行业，每个企业都依赖软件来满足其业务需求。企业构建和使用的大多数应用程序在其代码中都包含开源元素。近几年软件行业逐渐迁移到云上，并且随着应用程序复杂性的增加，软件安全风险也随之增加。企业需要在其软件开发生命周期（SLDC）中实施开源依赖管理最佳实践，并选择正确的工具来管理其开源风险。对开发人员进行开源安全培训和实现功能强大的软件成分分析（SCA）工具都是保护代码免受开源软件风险的关键步骤。

就像食品的成分列表一样，SBOM 就是软件中组件和服务的列表。SBOM 类似于制造和产品开发中的供应链文档。在产品开发供应链中，制造商使用特定供应商的零件，安装组件来构建产品，然后跟踪产品从制造商到购买它的零售店的旅行历史。与此类似，网络环境中的服务器机器是使用交付给制造厂的供应商部件构建的。服务器构建完成，然后从一个位置移动到另一个位置，直到它到达安装它的数据中心。这个过程中的每一步都是供应链的一部分。

开源安全基金会（OpenSSF）发布了，以帮助 JavaScript 和 TypeScript 开发人员降低使用开源依赖项相关的安全风险。OpenSSF Best Practice Group 发布的 npm 最佳实践指南，重点关注 npm 的依赖管理和供应链安全，涵盖各个领域，例如如何设置安全的 CI 配置、如何避免依赖混淆以及如何应对劫持依赖导致的后果。随着开发人员越来越多地共享和使用依赖项，依赖项在促进更快地开发和创新的同时，带来的风险也随之增加。

各种规模和各行各业的公司都在开发软件产品，并依靠开源代码来实现。业界领先的研究咨询公司 Forrester 和 Gartner 都表明，80%-90% 的商业软件开发人员在其应用程序中使用开源组件。随着开源项目的增多，在没有预防措施的情况下使用开源组件的风险也在增加。而开源治理可以帮助和指导开发人员如何使用开源工具来优化开源软件，同时降低风险。本文将讨论开源治理的基本实践与指导原则，帮助降低安全风险的同时增加责任感。...

在许多关于开源项目和社区治理的讨论中，人们往往倾向于把关注放在活动或资源上。虽然了解和记录这些信息十分有用且必要，但它们并不是真正意义上的开源治理。那什么才是开源治理呢？简而言之，治理（Governance）是根据项目来决定什么人可以做什么或者应该做什么、如何完成以及什么时间完成的规则和策略。而开源治理是指导开源项目的公认规则和惯例，由于定义了项目中的角色，因此可以基于每个开发人员的活动，来进行相应的开源项目治理。...

开源在软件领域已经势不可挡，随之而来的风险也不容忽视。企业在采用开源软件的同时，也应时刻注意悬在头顶上方的达摩克利斯之剑，积极制定开源合规策略和流程，定期进行合规检查，在享受开源带来的便利的同时，规避其风险。...

Scorecards 旨在为开源项目自动生成安全指数来帮助项目的使用者和组织做出风险知情的决策。企业正在大量使用开源依赖项，但确定这些依赖项风险仍是一项手动工作。Scorecards 项目旨在采用自动启发式（automated heuristics）和安全检查来减轻负担，最终在0到10的评分表上生成安全指数。它在评估开源软件项目的安全问题时，与安全领导者倡导的最佳实践（如签名或SAST）保持一致。OpenSSF Scorecards对风险严重程度采用分层计分。...

据 Beepingcomputer 消息，超过90万个配置错误的 Kuberenetes 集群被发现暴露在互联网上，可能会受到潜在的恶意扫描，有些甚至容易受到数据暴露所带来的网络攻击。Kubernetes 是一个被业界广泛采用的开源容器编排引擎，用于托管在线服务并通过统一的 API 接口管理容器化工作负载。由于其可扩展性、在多云环境中的灵活性、可移植性、成本、应用开发和系统部署时间的减少，它被企业广为采用并且在近几年内快速增长。然而，如果 Kubernetes 配置不当，远程攻击者可能会利用错误配置访问内部