开源项目通过社区驱动的流程、透明的实践和结构化的工作流程来处理安全性。与安全性依赖于内部团队的闭源软件不同,开源安全性受益于公众监督和协作问题解决。主要方法包括维护者进行代码审查、漏洞报告系统和自动化扫描工具。这些方法协同工作,以便及早发现风险并快速修补它们,同时保持定义开源开发的开放性。
主要的安全性措施是使用同行评审和社区审计。当贡献者通过拉取请求提交代码更改时,维护者和其他开发人员会审查代码的功能和潜在的安全漏洞。例如,Linux 内核采用分层审查流程,经验丰富的维护人员在合并之前验证补丁。较大的项目通常有专门的安全团队,例如 Node.js 的安全工作组,负责分类报告和协调修复。公共问题跟踪器还允许任何人报告可疑代码,但关键漏洞通常通过私人渠道处理(例如,GitHub 的私人漏洞报告),以防止在修复准备好之前被利用。
自动化工具和既定协议进一步加强了安全性。项目集成依赖项扫描程序(如 Dependabot 或 Renovate)以标记过时或易受攻击的库。例如,Python 包管理器 pip 在 2021 年添加了内置的漏洞检查,以警告用户有关不安全的依赖项。许多项目还采用安全策略,例如专用的 SECURITY.md 文件,以概述应如何报告和修补漏洞。例如,OpenSSH 项目遵循协调披露流程,在该流程中,修复程序在公开宣布之前以私下方式准备。此外,诸如开源安全基金会 (OpenSSF) 之类的计划提供了框架,例如用于评估项目安全实践的记分卡,帮助维护者采用诸如签名版本和可重复构建之类的最佳实践。
最后,持续的维护和快速更新可降低风险。开源项目优先考虑及时修补;当发现像 Log4Shell 这样的严重缺陷时,维护人员会快速发布补丁(例如,几天之内的 Apache Log4j 2.17.0)。鼓励用户定期更新依赖项,但这依赖于下游开发人员应用修复程序。像 Kubernetes 这样的项目通过在部署新版本之前运行测试和扫描的 CI/CD 管道自动执行安全更新。处理问题时的透明度(例如,发布公告(例如,GitHub 的 CVE 数据库)或详细说明发行说明中的修复)有助于开发人员了解风险并有效地应用更新。自动化、清晰的沟通和社区警惕性的结合构成了开源安全性的支柱。