簡介:CII最佳實踐徽章 - CNCF畢業標準要求之一

從沙箱或孵化狀態畢業,或者做爲一個新項目加入做爲一個畢業項目,項目必須符合孵化階段標準以及:linux

  • 有來自至少兩個機構的提交者。
  • 已經實現並維護了核心基礎結構計劃(CII)的最佳實踐徽章。
  • 採用CNCF行爲準則。
  • 明肯定義項目治理和提交者流程。這最好在GOVERNANCE.md文件中進行,並引用OWNERS.md文件顯示當前和榮譽提交者。
  • 至少在主要倉庫提供項目採用者的公開列表(例如,ADOPTERS.md文件或項目網站上的徽標)。
  • 得到TOC的絕對多數選票進入畢業階段。若是項目可以表現出足夠的成熟度,項目能夠嘗試直接從沙箱移動到畢業。項目能夠無限期地保持在孵化狀態,但一般預計在兩年內畢業。

這裏介紹一下其中的核心基礎結構計劃(CII)的最佳實踐徽章git

圖片描述

CII最佳實踐徽章計劃

Linux基金會(LF)的核心基礎設施計劃(Core Infrastructure Initiative,CII)最佳實踐徽章是Free/Libre和開源軟件(FLOSS)項目用於代表它們遵循最佳實踐的一種方式。項目能夠自願進行自我認證,經過使用此Web應用程序來解釋他們如何遵循每種最佳實踐。CII最佳實踐徽章的靈感來自GitHub項目衆多可得到的徽章系統。徽章的使用者能夠快速評估哪些FLOSS項目遵循最佳實踐,於是更有可能生成更高質量的安全軟件。github

最佳實踐標準「合格」("passing")級別摘要

這是合格標準的摘要,有關詳細信息,請參閱完整的標準列表算法

  • 有一個穩定的網站,說名:安全

    • 它作什麼
    • 如何得到
    • 如何提供反饋
    • 如何貢獻和首選風格
  • 明確指定FLOSS許可證
  • 項目網站支持HTTPS
  • 文檔記錄如何安裝和運行(安全地)以及任何API
  • 有分佈式公共版本控制系統,包括版本之間的變化:網絡

    • 使用語義版本控制格式爲每一個發佈提供惟一版本
    • 提供每一個發佈的更改摘要,識別任何已修復的漏洞
  • 容許提交、存檔和跟蹤錯誤報告:分佈式

    • 確認/響應錯誤和加強請求,而不是忽略它們
    • 有安全的、記錄在案的流程來報告漏洞
    • 在14天內回覆,並在60天內修復漏洞,若是漏洞是公開的
  • 使用標準的開源工具做有效的構建微服務

    • 啓用(並修復)編譯器警告和相似lint的檢查
    • 執行其餘靜態分析工具並修復可被攻擊利用的問題
  • 擁有涵蓋大部分代碼/功能的自動化測試套件,並正式要求對新代碼進行新的測試
  • 自動運行全部更改的測試,並應用動態檢查:工具

    • 執行內存/行爲分析工具(sanitizers/Valgrind等)
    • 執行模糊測試器(fuzzer)或Web掃描程序
  • 有開發者瞭解安全軟件和常見漏洞錯誤
  • 若是使用加密:
  • 使用公共協議/算法測試

    • 不要從新實現標準功能
    • 使用開源加密技術
    • 使用保持安全的密鑰長度
    • 不要使用已知損壞或已知弱算法
    • 使用具備前向保密性的算法
    • 使用密鑰拉伸算法,使用迭代、加鹽和哈希值存儲任何密碼
    • 使用加密隨機數源

Kubernetes的最佳實踐徽章

Prometheus的最佳實踐徽章

Envoy的最佳實踐徽章


2019年KubeCon + CloudNativeCon中國論壇提案徵集(CFP)現已開放

KubeCon + CloudNativeCon 論壇讓用戶、開發人員、從業人員匯聚一堂,面對面進行交流合做。與會人員有 Kubernetes、Prometheus 及其餘雲原生計算基金會 (CNCF) 主辦項目的領導,和咱們一同探討雲原生生態系統發展方向。

2019年中國開源峯會提案徵集(CFP)現已開放

在中國開源峯會上,與會者將共同合做及共享信息,瞭解最新和最有趣的開源技術,包括 Linux、容器、雲技術、網絡、微服務等;並得到如何在開源社區中導向和引領的信息。

大會日期:

  • 提案徵集截止日期:太平洋標準時間 2 月 15 日,星期五,晚上 11:59
  • 提案徵集通知日期:2019 年 4 月 1 日
  • 會議日程通告日期:2019 年 4 月 3 日
  • 幻燈片提交截止日期:6 月 17 日,星期一
  • 會議活動舉辦日期:2019 年 6 月 24 至 26 日

2019年KubeCon + CloudNativeCon + Open Source Summit China贊助方案出爐啦

相關文章
相關標籤/搜索