Core Infrastructure Initiative (CII) กองทุนที่สร้างขึ้นมาเพื่อสนับสนุนความปลอดภัยซอฟต์แวร์โอเพนซอร์ส ไม่ให้มีเหตุการณ์แบบ Heartbleed เป็นครั้งที่สอง ออกโครงการ Best Practices Badge ป้ายรับรองแบบรับรองตัวเองว่าโครงการโอเพนซอร์สใดมีแนวทางการทำงานที่ได้มาตรฐานบ้าง

ป้ายนี้หน้าตาเหมือนป้ายอื่นๆ ที่แปะในโครงการโอเพนซอร์สระบุความครอบคลุมของการทดสอบ หรือการสถานะการคอมไพล์รอบล่าสุด แต่การแปะป้ายนี้จะต้องให้ผู้ดูแลโครงการเข้าไปทำแบบสอบถามว่าผ่านเงื่อนไขต่างๆ หรือไม่

เงื่อนไขสำคัญๆ ได้แก่

1. มีเว็บไซต์ที่แจ้งข้อมูลชัดเจน: ระบุว่าซอฟต์แวร์ทำอะไร, ดาวน์โหลดอย่างไร, ให้ความเห็นหรือเสนอแนะอย่างไร, เข้าร่วมโครงการอย่างไร,
2. ระบุสัญญาอนุญาตที่ใช้งาน
3. เว็บไซต์รองรับ HTTPS
4. มีเอกสารการใช้งานที่บอกวิธีการใช้อย่างปลอดภัย
5. มีการควบคุมเวอร์ชั่น: มีระบบ version control ที่เข้าถึงได้โดยสาธารณะ, รายงานความเปลี่ยนแปลงในแต่ละเวอร์ชั่น, ให้หมายเลขเวอร์ชั่นอย่างชัดเจน
6. มีระบบรายงานบั๊ก: โดยเฉพาะการรายงานบั๊กความปลอดภัยต้องมีช่องทางเฉพาะ, ตอบสนองต่อรายงานช่องโหว่ภายในเวลา 14 วัน, และหากช่องโหว่เปิดต่อสาธารณะแล้วต้องแก้ไขภายใน 60 วัน
7. มีระบบคอมไพล์ด้วยเครื่องมือโอเพนซอร์ส, มีระบบทดสอบโค้ดอัตโนมัติ, ซอร์สโค้ดแก้ไขคำเตือนคอมไพล์เลอร์และระบบตรวจโค้ดอื่น เช่น lint หรือตัวตรวจโค้ด
8. โปรแกรมเมอร์เข้าใจกระบวนการพัฒนาซอฟต์แวร์อย่างปลอดภัย, และความผิดพลาดที่สร้างช่องโหว่พื้นฐาน
9. ใช้กระบวนการเข้ารหัสที่เปิดต่อสาธารณะ, ไม่สร้างฟังก์ชั่นพื้นฐานใหม่, กำหนดความยาวกุญแจให้เพียงพอ, ไม่ใช่อัลกอริทึมที่รู้ว่าอ่อนแอ, เก็บรหัสผ่านด้วยการแฮชในฟังก์ชั่นที่วนรอบและใช้ค่า salt, ใช้ค่าสุ่มจากแหล่งค่าสุ่มสำหรับการเข้ารหัส

ทาง CII ระบุว่าก่อนหน้านี้โครงการสำคัญๆ เช่น OpenSSL เองไม่ผ่านเงื่อนไขเหล่านี้ถึงหนึ่งในสาม แต่ตอนนี้โครงการผ่านเงื่อนไขเหล่านี้ทั้งหมด การพัฒนาซอฟต์แวร์อย่างปลอดภัยที่อาศัยหน่วยงานตรวจสอบภายนอกเข้ามาตรวจสอบอาจจะต้องใช้เงินถึง 10,000 ดอลลาร์ แต่การเปิดให้โครงการต่างๆ ตรวจสอบตัวเองและพยายามปรับปรุงแนวทางการทำงานก็อาจจะช่วยให้โลกโอเพนซอร์สมีความปลอดภัยโดยรวมดีขึ้นได้

ตอนนี้โครงการชุดแรกที่เข้าโครงการนี้ ได้แก่ Curl, GitLab, the Linux kernel, OpenBlox, OpenSSL, Node.js และ Zephyr สำหรับใครที่ทำโครงการโอเพนซอร์สอยู่ก็ไปตอบแบบสอบถามเอาป้ายไปแปะโครงการได้เลย

ที่มา - Core Infrastructure Initiative