杰
潜在的安全改进
GmSSL维护人员,你们好, 我衷心感谢你们在这个项目上的辛勤工作。 在当今的数字格局中,开源软件的安全性已成为一个紧迫的问题。开放源码安全基金会(OpenSSF)是Linux基金会的一个子基金会,多年来一直致力于增强开源软件安全。OpenSSF开发的一个有价值的工具是[OpenSSF Scorecard](https://www.github.com/ossf/scorecard),它能对开源软件社区的安全各维度进行评估分级。我想根据该工具最佳实践针对GmSSL提出一些改进建议: **1. Security Policy** 强烈建议在根目录中定义一个全面的安全策略(SECURITY.md)。该政策应包括漏洞报告和漏洞发布的指南。您可以在Security页面中执行此操作,该页面将为您提供一个模板文件,只需将一些关键信息(例如电子邮件地址或漏洞提交链接)放入SECURITY.md中并提交即可,[操作参考](https://docs.github.com/en/code-security/getting-started/adding-a-security-policy-to-your-repository#about-security-policies)。 **2. Branch Protection** 启用分支保护规则和强制代码审查可以显著降低引入漏洞的风险。重要的分支应该被保护,因为它不应该被错误地删除或强制推送。您可以在“设置”-“分支”页面中进行检查,您可以单击“添加分支规则集”或“添加经典分支保护规则”以保护一个或多个分支。 **3. Dependency Update Tool** 使用依赖项更新工具可以确保我们的项目始终使用最新和最安全的库版本。您可以在仓库设置中启用依赖。您可以在“设置”-“代码安全”页面中查看。您可以启用依赖机器人选项。 **4. Static Application Security Testing (SAST)** 实施SAST工具至关重要,因为它允许我们在开发周期的早期阶段检测漏洞。您可以在“设置”-“代码安全”页面中查看。您可以启用代码扫描选项。 我相信,这些建议将加强我们这个项目的安全性,期待你们的回复。