0%

Rocky Linux 数据分类策略[2021-01-25]


作者:木子
校稿:耿航


目录

  • 介绍
  • 分类等级
  • 参考文献

介绍

安全性、完整性和透明性必须放在Rocky Linux Foundation,Inc(“基金会”)及其社区做出的每个决定当中。至关重要的是正确识别和分类基金会的资产,包括:Rocky Linux项目(这个“项目”)资产,以正确保护这些资产免遭攻击。
尽管基金会认为社区的透明度和参与度非常重要,但为了确保项目的安全性和完整性,必须从本质上将许多事情与公众隔离。因此与基金会有关的所有信息都将分为以下五类:

  • 开源的
  • 公开的
  • 非公开的
  • 机密
  • 受限制的

在必要的情况下将使用此数据分类策略进行数据的管理。为此,为确保向公众完全透明,数据分类策略一经确认,在90天后未明确列出的所有数据将被归类为【开源的】。设置90天规定的目的是确保基金会有足够的时间对任何新数据类型进行正确分类,并确保不会由于简单地处理造成非开源或公开的数据被错误分类发布。

为了基金会和项目的“长寿”和成功,必须将某些信息置于公共领域之外(不向公共发布的信息),这对每个公司/组织都是如此。但是,基金会将尽可能公开和透明。因此,任何未归类为开源的内容都将在此政策或相关附录中包含公开说明和理由。这是为了确保公众充分了解数据的类型以及为什么不将信息作为开源发布的理由。

分类等级

开源的

描述

任何人均可不受任何限制地访问此分类下的所有数据。基金会为了确保其用途,任何尚未被其他许可证涵盖的,都将在[INSERT LICENSE AND LINK TO LICENSE HERE]下发布。
此外,任何想贡献、修改、分发基金会创建的开源数据的个人都可以自由地这样做,前提是该个人应该遵守上述许可的法律限制。
任何归类为开源的数据都必须发布到互联网上,并允许公众访问和/或贡献。对于允许贡献的系统,该系统应该不要求贡献者进行注册都能够进行贡献。查看任何归类于开源的数据将不需要任何注册。

例子

  • Rocky Linux公共源代码存储库
  • Rocky Linux公共Wiki
  • Rocky Linux发行版本
  • 由于法律/许可限制而需要开源的任何内容
  • 任何其他已识别,但超过90天还未分配归类的数据

公开的

描述

任何人都可以不受限制地访问此分类下的数据。但是,此数据分类并不采用开放源代码许可证发布,并且在此分类下的数据权益仍归属基金会,属专有资产。
属于此分类(或开源以外的任何其他分类)的数据必须归于单个个人或法人实体,因为对这些数据的权利必须属于或已经分配给基金会。

归类为公开的数据

  • Rocky Linux Foundation和Rocky Linux品牌,徽标和商标
  • 基金会的政策和程序
  • rockylinux.org上包含的信息,公开网站
  • Rocky Linux项目管理工具
  • Rocky Linux公共协作工具(Slack,Matrix,IRC,Mattermost等)
  • 有关安全项目构建和分发渠道的信息(不包括可能损害渠道完整性的信息)

非公开的

描述

该分类下的数据仅对基金会成员开放。基金会可以酌情将这些信息发布给非会员,并且不需要NDA(保密协议[Non Disclosure Agreement])即可发布。
通常,归类为非公开数据是为了保护基金会成员或项目的完整性。

归类为非公开数据

  • 打算在发布时归类为公共或开源的数据草稿版本
  • 基金会成员与公众之间的私密交流
  • 内部生产力工具,包括其他公共工具中的非公共协作工具(包括但不限于仅限:邀请的聊天频道、项目管理工具、论坛和Wiki)。

机密

描述

此分类下的数据对基金会、项目或其成员构成了重大风险,并且仅应由受到NDA或其他具有法律约束力的基金会成员或经过审核的第三方通过有约束、保密的形式进行访问。
通常,此数据包含可能危害项目构建和分发渠道的安全性或完整性的信息。

机密数据

  • 我们的会员或贡献者的个人身份信息(PII)
  • 与项目构建管道无关的内部系统文档
  • 基金会审核成员之间的交流
  • 基金会与其附属机构之间的交流
  • 基础架构文档(不包括上述与项目构建和分发渠道相关的公开分类数据)
  • 法律要求对数据保密的数据

受限制的

描述

该类别的数据只能由基金会或其分支机构的经过正式审查的成员访问。如果向公众发布此信息将对基金会、项目、成员、客户、分支机构或社区成员造成不可挽回的损害。
必须根据基金会的访问控制策略明确授予对具有此分类的数据的访问权限。[LINK THIS ONCE WRITTEN]
在任何情况下,如果没有适当的法律保护,这些数据都不能被共享。

数据归类为受限

  • 受法律特权保护的数据
  • 受法律保护的数据(PCI,PHI,PII,HIPAA,GLBA等)
  • 基础/项目安全数据(密钥,凭证,机密)

作者信息

本杰明·阿格纳(Benjamin Agner)
bagner@rockylinux.org
The Rocky Linux Foundation,Inc

罗布·费尔斯伯格(@rfelsburg)
rfelsberg@rockylinux.org
The Rocky Linux Foundation,Inc

尼尔·汉隆(@neil)
neil@rockylinux.org
The Rocky Linux Foundation,Inc