7.8 S2C2F 实施指南

如图 7.12 所示，与 SLSA 等其他框架一样，S2C2F 也围绕四个成熟度级别展开，从最基本的开放源码软件治理一直到高级威胁防御，每个级别都有自己的相关活动。

第1 级包括基本活动，如内部缓存软件包、进行基本清查和基本扫描，以及更新环境中的开放源码软件。第 2 级在此基础上，缩短修补易受攻击组件和执行事件响应的平均恢复时间（MTTR）。第 3 级包括创建一个已知恶意或不可靠组件和来源的否认列表，扫描开放源码软件组件中的恶意软件，并强制执行出处。最后，第 4 级被认为是理想级，这意味着除了行业内资源最丰富、最敏感的组织外，大多数组织都无法达到这一成熟度级别。这一级别的活动包括在可信的构建基础架构上重建开放源码软件，以及为重建的开放源码软件组件创建和数字签名 SBOM。

虽然这四个成熟度级别和相关的能力或要求很有帮助，但组织需要了解如何根据这些级别来评估自己或他人。S2C2F 提供了两个高级步骤：准备评估和实际执行评估。准备工作包括确保组织能够自如地与开发和工程团队接触，以了解指南中讨论的工具、能力和工作流程。指南还提供了一系列可用于评估的示例问题。这些问题涉及了解项目中目前如何使用开放源码软件、其来源以及现有的治理和安全实践，正如前面的核心概念、目标和框架的成熟度级别中所讨论的那样。

评估结束后，各组织应能更好地了解其目前在框架建议的能力和实践方面的成熟度。有了这种认识，组织就有能力制定改进计划，以解决评估过程中发现的不足或薄弱环节。然后，各组织可以根据各自的目标和风险承受能力，有针对性地进行投资和采取举措，以提高他们认为最关键的能力和做法。

S2C2F 以矩阵表的形式列出了框架的要求，其中包括实践、要求 ID、成熟度级别、要求标题以及实施该实践给组织带来的相关收益。由于工具是一个核心组件，并符合各种要求和成熟度级别，指南还提供了工具的可用性和建议，其中包括现有的免费工具、微软提供的工具以及微软正在开发的拟议工具。

S2C2F 指南是对供应链安全对话的有益补充，微软对 OpenSSF 框架的贡献表明了微软对开放源码软件社区和帮助业界解决这一问题的承诺。