首页
/ Flux2 项目 OpenSSF Scorecard 安全评分提升实践

Flux2 项目 OpenSSF Scorecard 安全评分提升实践

2025-05-31 22:41:35作者:毕习沙Eudora

背景介绍

在开源软件供应链安全日益受到重视的今天,CNCF 基金会与 Google 开源安全团队合作开展了 GSoC 2024 项目,旨在提升 CNCF 旗下项目的安全实践水平。作为该项目的一部分,我们对 Flux2 这一知名的 GitOps 工具进行了 OpenSSF Scorecard 安全评估,并实施了多项改进措施。

安全评估现状

Flux2 项目最初的安全评分为 8.6 分(满分 10 分),经过我们的优化后提升至 8.8 分。OpenSSF Scorecard 是一个自动化工具,用于评估开源项目的安全健康状况,检查项包括代码审查、依赖管理、CI/CD 安全等多个维度。

关键改进措施

1. 令牌权限优化

我们发现部分 GitHub Actions 工作流缺少顶层的只读权限声明。Scorecard 对此检查非常严格,只要有一个工作流缺少权限声明就会导致该项得分为 0。通过为所有工作流添加明确的权限控制,我们将此项评分从 0 提升到了 9 分。

权限控制的最佳实践是在工作流文件顶部明确声明所需的最小权限,例如:

permissions:
  contents: read
  pull-requests: read

2. 依赖固定策略

在依赖固定方面,项目原有的评分是 6 分。我们注意到部分 GitHub Actions 和 Dockerfile 中的容器镜像没有通过哈希值固定。虽然完全固定依赖能提高安全性,但对于容器镜像而言,过度固定可能导致运行过时的镜像,反而带来安全风险。

我们采取了平衡策略,对关键依赖进行哈希固定,同时保持一定的灵活性:

FROM alpine:3.18@sha256:82d1e9d7ed48a7523bdebc18cf6290bdb97b82302a8a9c27d4fe885949ea94d1

特殊案例处理

项目中存在一个 backport 工作流,使用了 github.event.pull_request.head.sha 来检出代码。Scorecard 将其标记为潜在危险工作流,因为理论上这可能允许恶意 PR 访问敏感信息。但经过分析,该工作流只能由维护者通过添加特定标签触发,不会默认运行,因此实际风险可控。

安全改进启示

通过这次安全评估和优化,我们得出几点重要启示:

  1. 最小权限原则:所有自动化流程都应遵循最小权限原则,明确声明所需权限
  2. 依赖管理平衡:在依赖固定和更新之间需要找到平衡点,既保证可重现性又确保安全性
  3. 上下文感知:安全工具的输出需要结合项目实际情况进行分析,不能机械应用

未来展望

虽然 Flux2 的安全评分已经达到较高水平,但安全工作永无止境。建议项目团队:

  1. 定期运行 Scorecard 检查,及时发现新的安全问题
  2. 建立安全更新机制,确保依赖项及时更新
  3. 考虑引入更多安全扫描工具,形成多层次的防御体系

通过持续的安全投入,Flux2 项目将能够为用户提供更加安全可靠的 GitOps 解决方案。

登录后查看全文
热门项目推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
139
1.91 K
kernelkernel
deepin linux kernel
C
22
6
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
273
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
923
551
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
421
392
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
189
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
74
64
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
344
1.3 K
easy-eseasy-es
Elasticsearch 国内Top1 elasticsearch搜索引擎框架es ORM框架,索引全自动智能托管,如丝般顺滑,与Mybatis-plus一致的API,屏蔽语言差异,开发者只需要会MySQL语法即可完成对Es的相关操作,零额外学习成本.底层采用RestHighLevelClient,兼具低码,易用,易拓展等特性,支持es独有的高亮,权重,分词,Geo,嵌套,父子类型等功能...
Java
36
8