2月25日，开源安全基金会（OpenSSF）发布了一套三层指南，旨在帮助开发者为开源Linux软件建立最低限度的安全保障。

　　该项目被称为“开源项目安全基线（OSPS基线）”，其开发基于一个认识：攻击者总会试图利用开源软件发动恶意供应链攻击。

　　Sectigo的高级研究员杰森·索罗科表示：“OSPS基线为开源安全设定了一个明确且必要的底线。然而，这可能会形成一个固定的检查清单，使安全合规变成目的而非过程。随着威胁态势的发展，静态基线可能会让项目产生虚假的安全感。”

　　OSPS包含三个级别，其中第一级别要求开发者实施多因素认证（MFA），将协作者权限设置为最低可用权限，并确保网站包含SSH、HTTPS或其他加密通道。第二级别要求，除明确提升权限的情况外，持续集成/持续部署（CI/CD）管道必须配置为最低可用权限，所有发布的软件资产必须为每个版本分配唯一的版本标识符，项目文档必须包含有关支持范围和持续时间的描述性说明。

　　最后，第三级别的要求更为严格，所有编译发布的软件资产必须包含软件物料清单（SBOM），并且项目必须进行威胁建模和攻击面分析。

　　前国家安全局（NSA）网络安全专家埃文·多恩布什表示：“从概念上讲，让开发者了解他们的代码可能带来的风险是件好事，这样他们就能提高技艺，并生产出更好的产品。对于消费者来说，明智地决定不采用那些没有基线安全设计的产品也是件好事。”

　　然而，多恩布什表示，尽管这看似出于好意，但这也意味着那些已经能够免费获得开发者资源的消费者现在还要求免费获得质量保证（QA）和风险分析。

　　多恩布什问道：“消费者何时开始利用志愿者开源社区的善意了？”他指出：“在最近一些广泛使用的压缩库中发现高调的零日漏洞之前，消费者一直毫无顾忌地将未经审查的代码投入生产。与其将这一负担完全推给开发者，也许消费者可以联合起来，为这些现在必须进行的工作提供报酬。”

　　Sectigo的索罗科指出，真正的危险不是底线本身，而是它可能滋生的自满情绪。他表示，许多开发者可能只停留在第一级别，仅满足最低赞助要求，而不去改进他们的做法。

　　索罗科说：“基线的分层模型旨在促进持续改进，但其成功取决于一种行业文化，这种文化重视主动、自适应的安全，而非勾选式合规。鉴于此，真正的安全需要超越静态最低限度的创新。”