套件储存库遭骇引发软体供应链安全风险事件愈来愈普遍,之上,结合多个套件储存库平台的建议发展而成。本框架针对套件储存库4种能力定义4层级安全成熟度。4类能力包括验证(authentication)、授权(authorization)、一般能力,以及指令行介面(command-line interface,CLI)工具。套件储存库营运平台可依此自评安全成熟度,并制订长期改善计划。
OpenSSF建议套件储存库平台可透过本框架实作套件的安全强化规定。一般流程是,储存库决定需强化的安全能力,为其撰写社群审查和许可草案,使其成为套件平台上的运作基本原则,除非有资金筹措问题。OpenSSF希望本框架能奠定基础,使套件储存库平台自行发展安全强化的长期计划。
OpenSSF也鼓励套件储存库善用产学界的资金资源加速草拟安全强化规定。像是OpenSSF的Alpha-Omega已支援Rust、Python软体基金会、Homebrew、Sovereign 科技基金也曾资助RubyGems及Python Package Index。
OpenSFF强调这框架并非强制性规定,此外,也欢迎更多组织对框架提供反馈意见。