Open Source Project Security Baseline (OSPS Baseline) là sáng kiến mới từ OpenSSF, hướng đến cải thiện tình trạng bảo mật của các dự án phần mềm mã nguồn mở. Đây là một khung công tác bao gồm các thực tiễn bảo mật tốt nhất, phù hợp với các tiêu chuẩn, quy định và khung an ninh mạng quốc tế.
Bảo mật mã nguồn mở là vấn đề nghiêm trọng, như đã được đề cập nhiều lần trên IProgrammer. Thứ nhất, phần mềm mã nguồn mở vận hành hầu hết mọi thứ, từ máy chủ, IoT, đến máy tính cá nhân và hệ thống của Liên minh châu Âu, như đã nêu trong bài “Liên minh châu Âu sẽ trả tiền để tìm lỗi trong phần mềm mã nguồn mở”. Văn phòng Chương trình Mã nguồn mở của Ủy ban châu Âu đã triển khai chương trình thưởng lỗi cho các phần mềm mã nguồn mở phổ biến, công nhận tầm quan trọng của OSS thông qua tài trợ từ nhà nước, đặc biệt tập trung vào OpenSSL và lỗi Heartbleed.
Thứ hai, đảm bảo bảo mật ứng dụng không hề đơn giản, như đã thảo luận trong bài “Tình trạng phát triển phần mềm an toàn – Ba khóa học của OpenSSF”. Việc viết mã an toàn đòi hỏi giáo dục, vì không công cụ nào có thể thay thế kiến thức. Hiểu cách viết mã an toàn giúp giảm thiểu rủi ro và khắc phục hạn chế của công cụ. Trong bối cảnh phần mềm ngày nay phức tạp, bảo mật cần được tích hợp vào pipeline CI/CD, hình thành nguyên tắc DevSecOps – giao thoa giữa DevOps và bảo mật. Nguyên tắc này đã thúc đẩy Linux Foundation thành lập OpenSSF, với mục tiêu giáo dục nhà phát triển về: Công bố lỗ hổng, Công cụ bảo mật, Thực tiễn bảo mật tốt nhất, Xác định mối đe dọa bảo mật cho dự án mã nguồn mở, Bảo mật các dự án quan trọng
OSPS Baseline của OpenSSF thúc đẩy tầm nhìn về phần mềm mã nguồn mở an toàn bằng cách cung cấp cho nhà phát triển một nền tảng chung với các mặc định hợp lý, tương tự cách công cụ như Semgrep áp dụng.
Trong bài blog năm 2020, “Tương lai của AppSec và lý do tôi gia nhập r2c”, chuyên gia an ninh mạng Clint Gibler nhận định rằng không thể tìm ra mọi lỗi, dù công cụ tiên tiến đến đâu. Thay vào đó, ông đề xuất hướng đi là:
Xây dựng các thư viện và công cụ an toàn theo mặc định, giúp ngăn chặn toàn bộ nhóm lỗ hổng ngay từ thiết kế, và đảm bảo nhà phát triển sử dụng chúng. Đây là chiến lược mà các đội ngũ bảo mật tiên tiến tại Google, Microsoft, Facebook, Netflix, Dropbox và nhiều công ty khác đã đầu tư trong nhiều năm.
Ví dụ, các khung web hiện đại như Django, Ruby on Rails có các mặc định an toàn và rào chắn tích hợp, giúp các tác vụ nguy hiểm trở nên an toàn theo mặc định, bao gồm mã hóa đầu ra theo ngữ cảnh (ngăn XSS), tích hợp chặt chẽ với bộ ánh xạ quan hệ đối tượng (ngăn SQL injection), và hơn thế nữa. Theo Gibler và nhiều chuyên gia, đây là lý do chính khiến bảo mật web được cải thiện, chứ không phải do các công cụ tìm lỗi tiên tiến.
OSPS Baseline từ OpenSSF áp dụng các thực tiễn bảo mật tốt nhất, tập trung vào quản lý dự án mã nguồn mở thay vì mã hóa an toàn. Khung này cung cấp hướng dẫn về kiểm soát truy cập, pipeline CI/CD, bảo trì và quản lý, phù hợp với các tiêu chuẩn như NIST SSDF và European Cyber Resilience Act (CRA).
OSPS-AC-01.01: Hệ thống kiểm soát phiên bản phải yêu cầu xác thực đa yếu tố (MFA) khi truy cập tài nguyên nhạy cảm. Khuyến nghị: Áp dụng MFA cho cộng tác viên, sử dụng passkey nếu phù hợp. Xây dựng và phát hành
OSPS-BR-01.02: Tên nhánh trong pipeline CI/CD phải được làm sạch và xác thực trước khi sử dụng, đảm bảo quy trình xây dựng và phát hành an toàn, nhất quán. Đánh giá bảo mật
OSPS-SA-02.01: Tài liệu dự án phải mô tả tất cả giao diện phần mềm bên ngoài (API) của tài sản phát hành, cập nhật cho các tính năng mới hoặc thay đổi phá vỡ. Quản lý lỗ hổng
OSPS-VM-03.01: Dự án phải cung cấp kênh báo cáo lỗ hổng bảo mật riêng tư (email, biểu mẫu web, công cụ chuyên dụng) và không công khai lỗ hổng cho đến khi có biện pháp khắc phục. So sánh với các giải pháp khác Chainguard áp dụng nguyên tắc mặc định hợp lý cho hình ảnh container Wolfi, cung cấp chữ ký và mặc định an toàn cho chuỗi cung ứng phần mềm. Trong khi đó, OSPS Baseline tập trung vào hậu cần dự án, không quy định mã hóa an toàn mà hướng đến quản lý rủi ro và tăng cường độ tin cậy cho dự án mã nguồn mở.
Dù không bắt buộc bởi chính phủ, việc áp dụng OSPS Baseline giúp dự án thể hiện cam kết bảo mật, giảm rủi ro và tăng khả năng được các doanh nghiệp tin dùng. Các hạng mục khác của khung bao gồm Tài liệu, Quản trị, Pháp lý và Chất lượng, tạo nền tảng toàn diện cho bảo mật dự án.
