The Geomys Standard of Care
7 months ago
- #Open Source
- #Maintenance
- #Security
- 通过标准化实现开源维护的专业化,可打造更安全可靠的项目。
- Geomys维护标准基于近期供应链攻击事件调研与专家意见制定而成。
- 涵盖维护理念、稳定性、依赖管理、安全防护、漏洞处理、许可证规范等全方位要求。
- 未来计划采用二进制透明化工具,并定期审查浏览器扩展与OAuth应用。
- 适用项目包括Go标准库包、Staticcheck、Gotraceui等核心工具链。
- 特别强调代码审查、复杂度管控、静态分析及严格的向后兼容性。
- 依赖管理拒绝Dependabot等自动化工具,专注govulncheck与隔离式CI任务。
- 关键账户必须采用防钓鱼认证机制,尽可能启用严格安全模式。
- 禁止使用长期凭证,优先采用硬件绑定的SSH密钥。
- CI安全体系包含GitHub Actions的zizmor防护、默认只读工作流及缓存投毒防御。
- 严格限制第三方访问,项目终止时执行归档而非移交。
- 对关键终端与域名实施可用性监控和透明化日志记录。
- 漏洞处理流程包含标准化报告机制、保密期遵守及精准CVE上报。
- 采用BSD-3-Clause、MIT、Apache-2.0等宽松许可证。
- Geomys获Smallstep、Ava Labs、Tailscale等企业资助,保障开源可持续维护。