许多开源项目构建在其他项目之上，一个通用基础设施中的安全漏洞可能会产生深远的影响。正如 OpenSSL 的 Heartbleed 安全漏洞所表明的那样，这些漏洞甚至可能出现在最受信任的软件包中。

然而，开源开发者可以采取措施在软件发布之前帮助捕获这些漏洞。 安全的开发实践可以在问题全面爆发之前发现许多问题。 但是，如何判断哪些开源项目遵循这些实践？ 核心基础设施倡议（Core Infrastructure Initiative）本周启动了一项新的“最佳实践徽章计划”，通过向使用安全开发实践开发的开源项目授予数字徽章来提供解决方案。

核心基础设施倡议是由 Linux 基金会设立的非营利项目。 它组织对重要开源项目的资金投入。 该倡议得到了许多依赖这些开源项目的大型企业的财政支持，包括亚马逊、谷歌、IBM 和思科。

该倡议将其注意力集中在构成不同软件堆栈支柱并被广泛使用的项目上。 OpenSSL 项目就是一个明显的例子。 该软件被用于许多不同的操作系统和 Web 应用程序中，因此任何安全漏洞都可能造成巨大的潜在后果。

尽管成立仅一年多，但它已经对这些重要的软件包产生了重大影响。 通过资助必要的安全审计和开发工作，该倡议已经消除了大量错误和可利用的缺陷。

徽章计划是该组织最新推出的计划，其中包括：

• 教育。
• 广泛的普查，以帮助确定最需要帮助的项目。
• 工具，用于开发开源项目可以用来改进其开发过程的工具。

徽章计划仅适用于真正的开源项目，这意味着只有使用合适的开源许可证发布的软件才能被接受申请。 要获得徽章，团队必须实施最佳实践并提交调查问卷。 他们还需要针对其项目的存储库运行一个简单的实用程序，该实用程序会执行多项自动检查。

必需的安全开发实践包括：

1. 可公开访问的、版本控制的源代码存储库。
2. 错误报告流程。
3. 符合语义版本控制格式的正确版本控制。
4. 用户可以使用更改日志来决定是否应该更新。
5. 可用的构建系统。
6. 完整的测试套件，用于检测对代码库进行更改时出现的回归。
7. 该项目必须受到保护，防止“中间人”攻击。
8. 必须使用静态分析工具来检测漏洞和其他缺陷。
9. 还应使用动态分析工具来检测漏洞。
10. 必须有一个报告安全漏洞的流程。
11. 所有公开已知的漏洞都必须在发现后 60 天内进行修补。

徽章计划仍处于早期阶段，该倡议欢迎社区提出有关其他最佳实践要求的建议。