CISA、OpenSSF合作套件儲存庫安全框架

套件儲存庫遭駭引發軟體供應鏈安全風險事件愈來愈普遍，開源軟體基金會（OpenSSF）本周公布套件儲存庫安全原則（Principles for Package Repository Security），供開發人員評估套件庫的安全性。

套件儲存庫安全原則是一個套件安全性評估框架，以協助開發人員評估並提升套件安全性。本框架是美國網路安全與基礎架構安全管理署（Cybersecurity and Infrastructure Security Agency，CISA）及OpenSSF確保軟體儲存庫工作小組的合作成果。CISA去年9月公布開源碼軟體安全藍圖，以提升套件管理員軟體的安全性為首要任務。

開源碼套件廣為企業組織使用，濫用開源碼相依性可能透過軟體供應鏈影響廣大用戶，因此套件儲存庫是強化開源生態圈安全性、防範攻擊風險的關鍵。一個簡單的安全措施，像是具備帳號發現政策，都有助於提升整體安全性。但另一方面，許多套件儲存庫維護單位，都是資源拮据的非營利組織，想提升安全性力不從心。

套件儲存庫安全原則即是提供給這些套件庫維護單位的資源。該框架是在現有安全原則如Python的Packaging Fundable Improvements之上，結合多個套件儲存庫平臺的建議發展而成。本框架針對套件儲存庫4種能力定義4層級安全成熟度。4類能力包括驗證（authentication）、授權（authorization）、一般能力，以及指令行介面（command-line interface，CLI）工具。套件儲存庫營運平臺可依此自評安全成熟度，並制訂長期改善計畫。

OpenSSF建議套件儲存庫平臺可透過本框架實作套件的安全強化規定。一般流程是，儲存庫決定需強化的安全能力，為其撰寫社群審查和許可草案，使其成為套件平臺上的運作基本原則，除非有資金籌措問題。OpenSSF希望本框架能奠定基礎，使套件儲存庫平臺自行發展安全強化的長期計畫。

OpenSSF也鼓勵套件儲存庫善用產學界的資金資源加速草擬安全強化規定。像是OpenSSF的Alpha-Omega已支援Rust、Python軟體基金會、Homebrew，而Sovereign科技基金也曾資助RubyGems及Python Package Index。

OpenSFF強調這框架並非強制性規定，此外，也歡迎更多組織對框架提供反饋意見。