Security Slam 2026回归 — 现向所有开源项目开放

Source: CNCF Blog

概览

CNCF 技术咨询组（安全与合规） 很高兴宣布即将在 KubeCon + CloudNativeCon Europe 举办的 2026 年安全 Slam，合作伙伴包括 Sonatype 和 OpenSSF。
活动时间为 2026 年 2 月 20 日（星期五）至 3 月 20 日（星期五）。

Security Slam 是 CNCF 社区的一项活动，多年来呈现出多种形态。如今进入第五轮，Slam 旨在帮助项目了解并提升其高级安全姿态。

“安全卫生是每个项目都应该做的事——只要有一点指导，任何项目都能做到。这是日常事务，就像刷牙一样。学会一次后，你可以轻松每天坚持。” – Christopher “CRob” Robinson，OpenSSF 首席技术官兼首席架构师

过去仅限 CNCF 项目参与的 Slam，如今借助全新的 LFX Insights 仪表盘扩大参与范围：只要在截止日期前将项目发布到 LFX Insights，即可获得 Slam 认可。

往届活动提供了诸如 Google 2022 年 “为达到特定里程碑的项目捐赠”（链接）以及 2025 年 “为顶级贡献者准备的 LEGO 奖品”（链接）等激励。形式也多样——从一天的 “Kubernetes 闪电赛” 为新贡献者入门，到数周的准备工作以及在 KubeCon + CloudNativeCon Europe 的 45 分钟现场会议。

2023 年的版本取得了统计显著的成果，为项目颁发 熨烫徽章 和 装裱牌匾，以展示在为期 30 天的活动中取得的里程碑。参与者报告了显著的项目收益，例如 Argo 团队在一次 GitHub Action 被攻破时能够快速响应，因为在 Slam 期间所有工作流版本都已固定。

“我们在安全 Slam 中对 Argo 完成的工作在 tj‑actions GitHub Action 被攻破时发挥了巨大作用。所有工作流版本在上一次 Slam 中已被固定——如果没有固定，我们将花费大量时间来轮换密钥。” – Michael Crenshaw

关键相似点

• 项目大约持续一个月，直至 KubeCon 前结束。
• CNCF TAG 安全与合规将发布一套资源库，以加速更复杂目标的执行。
• 顾问将在专用的 CNCF Slack 频道中整个月提供澄清和安全卫生相关问题的解答。
• 参与项目将获得定制牌匾，以展示其成功。
• 个人贡献者将获得对应项目完成目标的徽章。

新增要素

• 来自 CNCF 和 Linux 基金会之外的项目也被邀请参与。
• 顾问和材料将覆盖 《网络弹性法案》（Cyber Resilience Act，CRA）》 主题。
• 本次活动的 Slam 资源库将在线托管于 securityslam.com。

关键日期提醒

预注册 已开放——立即报名以接收活动提醒和相关指引！