Flux2 项目 OpenSSF Scorecard 安全评分提升实践

背景介绍

在开源软件供应链安全日益受到重视的今天，CNCF 基金会与 Google 开源安全团队合作开展了 GSoC 2024 项目，旨在提升 CNCF 旗下项目的安全实践水平。作为该项目的一部分，我们对 Flux2 这一知名的 GitOps 工具进行了 OpenSSF Scorecard 安全评估，并实施了多项改进措施。

安全评估现状

Flux2 项目最初的安全评分为 8.6 分（满分 10 分），经过我们的优化后提升至 8.8 分。OpenSSF Scorecard 是一个自动化工具，用于评估开源项目的安全健康状况，检查项包括代码审查、依赖管理、CI/CD 安全等多个维度。

关键改进措施

1. 令牌权限优化

我们发现部分 GitHub Actions 工作流缺少顶层的只读权限声明。Scorecard 对此检查非常严格，只要有一个工作流缺少权限声明就会导致该项得分为 0。通过为所有工作流添加明确的权限控制，我们将此项评分从 0 提升到了 9 分。

权限控制的最佳实践是在工作流文件顶部明确声明所需的最小权限，例如：

permissions:
  contents: read
  pull-requests: read

2. 依赖固定策略

在依赖固定方面，项目原有的评分是 6 分。我们注意到部分 GitHub Actions 和 Dockerfile 中的容器镜像没有通过哈希值固定。虽然完全固定依赖能提高安全性，但对于容器镜像而言，过度固定可能导致运行过时的镜像，反而带来安全风险。

我们采取了平衡策略，对关键依赖进行哈希固定，同时保持一定的灵活性：

FROM alpine:3.18@sha256:82d1e9d7ed48a7523bdebc18cf6290bdb97b82302a8a9c27d4fe885949ea94d1

特殊案例处理

项目中存在一个 backport 工作流，使用了 github.event.pull_request.head.sha 来检出代码。Scorecard 将其标记为潜在危险工作流，因为理论上这可能允许恶意 PR 访问敏感信息。但经过分析，该工作流只能由维护者通过添加特定标签触发，不会默认运行，因此实际风险可控。

安全改进启示

通过这次安全评估和优化，我们得出几点重要启示：

1. 最小权限原则：所有自动化流程都应遵循最小权限原则，明确声明所需权限
2. 依赖管理平衡：在依赖固定和更新之间需要找到平衡点，既保证可重现性又确保安全性
3. 上下文感知：安全工具的输出需要结合项目实际情况进行分析，不能机械应用

未来展望

虽然 Flux2 的安全评分已经达到较高水平，但安全工作永无止境。建议项目团队：

1. 定期运行 Scorecard 检查，及时发现新的安全问题
2. 建立安全更新机制，确保依赖项及时更新
3. 考虑引入更多安全扫描工具，形成多层次的防御体系

通过持续的安全投入，Flux2 项目将能够为用户提供更加安全可靠的 GitOps 解决方案。