简介：CII最佳实践徽章 - CNCF毕业标准要求之一

从沙箱或孵化状态毕业，或者做为一个新项目加入做为一个毕业项目，项目必须符合孵化阶段标准以及：

• 有来自至少两个机构的提交者。
• 已经实现并维护了核心基础结构计划（CII）的最佳实践徽章。
• 采用CNCF行为准则。
• 明肯定义项目治理和提交者流程。这最好在GOVERNANCE.md文件中进行，并引用OWNERS.md文件显示当前和荣誉提交者。
• 至少在主要仓库提供项目采用者的公开列表（例如，ADOPTERS.md文件或项目网站上的徽标）。
• 得到TOC的绝对多数选票进入毕业阶段。若是项目可以表现出足够的成熟度，项目能够尝试直接从沙箱移动到毕业。项目能够无限期地保持在孵化状态，但一般预计在两年内毕业。

这里介绍一下其中的核心基础结构计划（CII）的最佳实践徽章。

CII最佳实践徽章计划

Linux基金会（LF）的核心基础设施计划（Core Infrastructure Initiative，CII）最佳实践徽章是Free/Libre和开源软件（FLOSS）项目用于代表它们遵循最佳实践的一种方式。项目能够自愿进行自我认证，经过使用此Web应用程序来解释他们如何遵循每种最佳实践。CII最佳实践徽章的灵感来自GitHub项目众多可得到的徽章系统。徽章的使用者能够快速评估哪些FLOSS项目遵循最佳实践，于是更有可能生成更高质量的安全软件。

最佳实践标准“合格”（"passing"）级别摘要

这是合格标准的摘要，有关详细信息，请参阅完整的标准列表：

• 有一个稳定的网站，说名：

  • 它作什么
  • 如何得到
  • 如何提供反馈
  • 如何贡献和首选风格
• 明确指定FLOSS许可证
• 项目网站支持HTTPS
• 文档记录如何安装和运行（安全地）以及任何API

• 有分布式公共版本控制系统，包括版本之间的变化：

  • 使用语义版本控制格式为每一个发布提供惟一版本
  • 提供每一个发布的更改摘要，识别任何已修复的漏洞

• 容许提交、存档和跟踪错误报告：

  • 确认/响应错误和加强请求，而不是忽略它们
  • 有安全的、记录在案的流程来报告漏洞
  • 在14天内回复，并在60天内修复漏洞，若是漏洞是公开的

• 使用标准的开源工具做有效的构建

  • 启用（并修复）编译器警告和相似lint的检查
  • 执行其余静态分析工具并修复可被攻击利用的问题
• 拥有涵盖大部分代码/功能的自动化测试套件，并正式要求对新代码进行新的测试

• 自动运行全部更改的测试，并应用动态检查：

  • 执行内存/行为分析工具（sanitizers/Valgrind等）
  • 执行模糊测试器（fuzzer）或Web扫描程序
• 有开发者了解安全软件和常见漏洞错误
• 若是使用加密：

• 使用公共协议/算法

  • 不要从新实现标准功能
  • 使用开源加密技术
  • 使用保持安全的密钥长度
  • 不要使用已知损坏或已知弱算法
  • 使用具备前向保密性的算法
  • 使用密钥拉伸算法，使用迭代、加盐和哈希值存储任何密码
  • 使用加密随机数源

Kubernetes的最佳实践徽章

• https://bestpractices.coreinf...

Prometheus的最佳实践徽章

• https://bestpractices.coreinf...

Envoy的最佳实践徽章

• https://bestpractices.coreinf...

---

2019年KubeCon + CloudNativeCon中国论坛提案征集（CFP）现已开放

KubeCon + CloudNativeCon 论坛让用户、开发人员、从业人员汇聚一堂，面对面进行交流合做。与会人员有 Kubernetes、Prometheus 及其余云原生计算基金会 (CNCF) 主办项目的领导，和咱们一同探讨云原生生态系统发展方向。

2019年中国开源峰会提案征集（CFP）现已开放

在中国开源峰会上，与会者将共同合做及共享信息，了解最新和最有趣的开源技术，包括 Linux、容器、云技术、网络、微服务等；并得到如何在开源社区中导向和引领的信息。

大会日期：

• 提案征集截止日期：太平洋标准时间 2 月 15 日，星期五，晚上 11:59
• 提案征集通知日期：2019 年 4 月 1 日
• 会议日程通告日期：2019 年 4 月 3 日
• 幻灯片提交截止日期：6 月 17 日，星期一
• 会议活动举办日期：2019 年 6 月 24 至 26 日

2019年KubeCon + CloudNativeCon + Open Source Summit China赞助方案出炉啦