CRI-O项目安全评分提升实践

在开源软件供应链安全日益重要的今天，CNCF项目CRI-O通过系统性地改进其安全实践，成功将OpenSSF Scorecard安全评分从8.9提升至9.7。这一提升主要聚焦于两个关键安全领域：工作流令牌权限管理和依赖项固定策略。

令牌权限管理优化

CRI-O项目原先存在工作流令牌权限配置不统一的问题。OpenSSF Scorecard对此类问题检测非常严格，只要存在一个工作流没有配置顶层只读权限，就会给出0分评价。

改进方案是在所有GitHub Actions工作流文件中统一添加顶层权限声明，明确设置为只读模式。这种配置方式遵循最小权限原则，有效降低了潜在的安全隐患。通过这一改进，项目在该检查项获得了满分。

依赖项固定策略强化

在依赖管理方面，项目原先存在部分GitHub Actions和Go命令未通过哈希值固定的情况。依赖固定是软件供应链安全的重要实践，它能防止依赖项被意外修改或意外更新引入问题。

改进措施包括：

1. 将所有GitHub Actions引用从标签或分支引用改为具体的提交哈希
2. 评估并优化Go命令的版本管理策略

值得注意的是，在Go命令固定策略上需要权衡考虑。虽然完全固定能提高安全性，但也可能使项目停留在旧版本。因此，项目团队采取了平衡方案，在确保安全的同时保持必要的灵活性。

安全实践的意义

这些改进虽然看似简单，但对项目安全态势有显著提升：

• 降低了工作流令牌被错误使用的风险
• 防止了依赖项供应链问题
• 为项目贡献者建立了更安全的工作环境
• 提升了项目在开源社区的可信度

CRI-O项目的这一实践为其他CNCF项目提供了很好的参考，展示了如何通过系统性的小改进来显著提升整体安全水平。这种持续关注和改善安全实践的态度，正是现代开源项目维护的典范。