簡介：CII最佳實踐徽章 - CNCF畢業標準要求之一

從沙箱或孵化狀態畢業，或者做爲一個新項目加入做爲一個畢業項目，項目必須符合孵化階段標準以及：

• 有來自至少兩個機構的提交者。
• 已經實現並維護了核心基礎結構計劃（CII）的最佳實踐徽章。
• 採用CNCF行爲準則。
• 明肯定義項目治理和提交者流程。這最好在GOVERNANCE.md文件中進行，並引用OWNERS.md文件顯示當前和榮譽提交者。
• 至少在主要倉庫提供項目採用者的公開列表（例如，ADOPTERS.md文件或項目網站上的徽標）。
• 得到TOC的絕對多數選票進入畢業階段。若是項目可以表現出足夠的成熟度，項目能夠嘗試直接從沙箱移動到畢業。項目能夠無限期地保持在孵化狀態，但一般預計在兩年內畢業。

這裏介紹一下其中的核心基礎結構計劃（CII）的最佳實踐徽章。

CII最佳實踐徽章計劃

Linux基金會（LF）的核心基礎設施計劃（Core Infrastructure Initiative，CII）最佳實踐徽章是Free/Libre和開源軟件（FLOSS）項目用於代表它們遵循最佳實踐的一種方式。項目能夠自願進行自我認證，經過使用此Web應用程序來解釋他們如何遵循每種最佳實踐。CII最佳實踐徽章的靈感來自GitHub項目衆多可得到的徽章系統。徽章的使用者能夠快速評估哪些FLOSS項目遵循最佳實踐，於是更有可能生成更高質量的安全軟件。

最佳實踐標準「合格」（"passing"）級別摘要

這是合格標準的摘要，有關詳細信息，請參閱完整的標準列表：

• 有一個穩定的網站，說名：

  • 它作什麼
  • 如何得到
  • 如何提供反饋
  • 如何貢獻和首選風格
• 明確指定FLOSS許可證
• 項目網站支持HTTPS
• 文檔記錄如何安裝和運行（安全地）以及任何API

• 有分佈式公共版本控制系統，包括版本之間的變化：

  • 使用語義版本控制格式爲每一個發佈提供惟一版本
  • 提供每一個發佈的更改摘要，識別任何已修復的漏洞

• 容許提交、存檔和跟蹤錯誤報告：

  • 確認/響應錯誤和加強請求，而不是忽略它們
  • 有安全的、記錄在案的流程來報告漏洞
  • 在14天內回覆，並在60天內修復漏洞，若是漏洞是公開的

• 使用標準的開源工具做有效的構建

  • 啓用（並修復）編譯器警告和相似lint的檢查
  • 執行其餘靜態分析工具並修復可被攻擊利用的問題
• 擁有涵蓋大部分代碼/功能的自動化測試套件，並正式要求對新代碼進行新的測試

• 自動運行全部更改的測試，並應用動態檢查：

  • 執行內存/行爲分析工具（sanitizers/Valgrind等）
  • 執行模糊測試器（fuzzer）或Web掃描程序
• 有開發者瞭解安全軟件和常見漏洞錯誤
• 若是使用加密：

• 使用公共協議/算法

  • 不要從新實現標準功能
  • 使用開源加密技術
  • 使用保持安全的密鑰長度
  • 不要使用已知損壞或已知弱算法
  • 使用具備前向保密性的算法
  • 使用密鑰拉伸算法，使用迭代、加鹽和哈希值存儲任何密碼
  • 使用加密隨機數源

Kubernetes的最佳實踐徽章

• https://bestpractices.coreinf...

Prometheus的最佳實踐徽章

• https://bestpractices.coreinf...

Envoy的最佳實踐徽章

• https://bestpractices.coreinf...

---

2019年KubeCon + CloudNativeCon中國論壇提案徵集（CFP）現已開放

KubeCon + CloudNativeCon 論壇讓用戶、開發人員、從業人員匯聚一堂，面對面進行交流合做。與會人員有 Kubernetes、Prometheus 及其餘雲原生計算基金會 (CNCF) 主辦項目的領導，和咱們一同探討雲原生生態系統發展方向。

2019年中國開源峯會提案徵集（CFP）現已開放

在中國開源峯會上，與會者將共同合做及共享信息，瞭解最新和最有趣的開源技術，包括 Linux、容器、雲技術、網絡、微服務等；並得到如何在開源社區中導向和引領的信息。

大會日期：

• 提案徵集截止日期：太平洋標準時間 2 月 15 日，星期五，晚上 11:59
• 提案徵集通知日期：2019 年 4 月 1 日
• 會議日程通告日期：2019 年 4 月 3 日
• 幻燈片提交截止日期：6 月 17 日，星期一
• 會議活動舉辦日期：2019 年 6 月 24 至 26 日

2019年KubeCon + CloudNativeCon + Open Source Summit China贊助方案出爐啦