<div dir="ltr">Hi,<br><br>I wanted to point out to the OMC and to openssl-project a new initiative from the [Open Source Security Foundation](<a href="http://www.openssf.org">www.openssf.org</a>): the Security Metrics Initiative.<br><br>A more detailed description is available at <<a href="https://openssf.org/blog/2021/05/03/introducing-the-security-metrics-project/">https://openssf.org/blog/2021/05/03/introducing-the-security-metrics-project/</a>>.<br>It should be remarked that the <<a href="http://metrics.openssf.org">metrics.openssf.org</a>> service is to be considered alpha, and that changes in the API, in data sources might occur at this stage, and that there might be inaccuracies in the reported data.<br><br>Here is a direct link to what the initiative reports for the OpenSSL project:<br><<a href="https://metrics.openssf.org/grafana/d/default/metric-dashboard?orgId=1&var-PackageURL=pkg%3Agithub/openssl/openssl">https://metrics.openssf.org/grafana/d/default/metric-dashboard?orgId=1&var-PackageURL=pkg%3Agithub/openssl/openssl</a>>.<br><br>In particular it seems we score quite low on the OpenSSF Scorecard (30.8% as I am writing this mail) and, also for the data coming from the OpenSSF Best Practices Badge Program, it looks like the project has many negative marks.<br><br>It should also be noted that the description field in the project information for `github:/openssl/openssl` reports:<br><br>> This is a historical badge entry for the OpenSSL project before the Heartbleed vulnerability was reported, circa February 2014. Please note that the OpenSSL project's status has changed substantially since then. For the current state of OpenSSL, see the current OpenSSL badge entry. [...]<div><br></div><div>So maybe it is not too alarming that many of the negative marks are coming from unexpected entries: e.g. it seems at the moment it reports we don't have/use static/dynamic analysis, we don't have vulnerability reporting, code review, CI Tests or Pull Requests.<br><br>Nonetheless given this tool might soon be used to pick among alternatives when making critical infrastructure design choices, or affect funding decisions or resource planning, it might be a good thing for the OMC to get proactive and reach out to straighten the record for current OpenSSL releases, to offer suggestions on alternative metrics to be considered, on redefining criteria for existing metrics, and possibly incorporate feedback from the Security Metrics initiative to adapt plans regarding future roadmap for OpenSSL.<br><br>I finish reporting in this email the last paragraph from the Security Metrics Initiative announcement, as it might be of interest for all subscribers to openssl-project:<br><br>> Your [feedback](<a href="https://github.com/ossf/Project-Security-Metrics/issues">https://github.com/ossf/Project-Security-Metrics/issues</a>) is most welcome, and if you're interested in learning more or joining this effort, please reach out to [Michael Scovetta](mailto://<a href="mailto:michael.scovetta@microsoft.com">michael.scovetta@microsoft.com</a>) or join us at our next [working group](<a href="https://github.com/ossf/wg-identifying-security-threats">https://github.com/ossf/wg-identifying-security-threats</a>) meeting.<br><br><br><br>Best regards,<br><br>Nicola Tuveri<br><br></div></div>