FFmpeg

Projekte, die den nachfolgenden Best Practices folgen, können sich freiwillig selbst zertifizieren und zeigen, dass sie einen Core-Infrastruktur-Initiative-/OpenSSF-Badge erhalten haben.

Wenn dies Ihr Projekt ist, zeigen Sie bitte Ihren Badge-Status auf Ihrer Projektseite! Der Badge-Status sieht so aus: Badge-Level für Projekt 235 ist in_progress So können Sie ihn einbetten:

Dies sind die Kriterien das Level Passing. Sie können auch die Kriterien für die Level Silber oder Gold sehen.

        

 Grundlagen 13/13

  • Identifizierung

    FFmpeg is the leading multimedia framework, able to decode, encode, transcode, mux, demux, stream, filter and play pretty much anything that humans and machines have created. It supports the most obscure ancient formats up to the cutting edge. No matter if they were designed by some standards committee, the community or a corporation. It is also highly portable: FFmpeg compiles, runs, and passes our testing infrastructure [FATE](fate.ffmpeg.org) across Linux, Mac OS X, Microsoft Windows, the BSDs, Solaris, etc. under a wide variety of build environments, machine architectures, and configurations.

    It contains libavcodec, libavutil, libavformat, libavfilter, libavdevice, libswscale and libswresample which can be used by applications. As well as ffmpeg, ffserver, ffplay and ffprobe which can be used by end users for transcoding, streaming and playing.

    Welche Programmiersprache wird verwendet, um das Projekt umzusetzen?

  • Grundlegende Informationen auf der Projektwebseite


    Genug für ein Badge!

    Die Projekt-Website MUSS prägnant beschreiben, was die Software tut (welches Problem löst sie?). [description_good]

    https://ffmpeg.org/about.html


    Genug für ein Badge!

    Die Projekt-Website MUSS Informationen darüber enthalten, wie Feedback erhalten und gegeben werden kann (als Fehlerberichte oder Verbesserungsvorschläge), und wie man zur Softwareentwicklung beitragen kann. [interact]

    https://ffmpeg.org/bugreports.html https://ffmpeg.org/developer.html https://ffmpeg.org/contact.html#MailingLists


    Genug für ein Badge!

    Die Informationen darüber, wie jemand beitragen kann, MÜSSEN den Prozess erklären (z.B. wie werden Pull-Requests verwendet?) (URL erforderlich) [contribution]

    https://ffmpeg.org/developer.html

    The above URL gives complete information regarding the contribution process. As a short summary: although mirrored on GitHub at https://github.com/FFmpeg/FFmpeg, the project does not accept pull requests as explained in https://github.com/FFmpeg/FFmpeg/pull/153. We instead use a mailing list ffmpeg-devel@ffmpeg.org instead; exact details are provided in the developer documentation link at the top.


    Genug für ein Badge!

    Die Informationen darüber, wie jemand beitragen können, SOLLTEN die Anforderungen für akzeptable Beiträge (z. B. einen Hinweis auf jeden erforderlichen Programmierstandard) enthalten. (URL erforderlich) [contribution_requirements]

    https://ffmpeg.org/developer.html includes references to coding guidelines https://ffmpeg.org/developer.html#Coding-Rules-1.


  • FLOSS-Lizenz

    Unter welcher Lizenz/welchen Lizenzen ist das Projekt veröffentlicht?


    Genug für ein Badge!

    Die vom Projekt entwickelte Software MUSS als FLOSS lizensiert veröffentlicht sein. [floss_license]

    https://ffmpeg.org/legal.html provides complete information regarding the licensing of FFmpeg.

    A short summary quoted from the above is:

    FFmpeg is licensed under the GNU Lesser General Public License (LGPL) version 2.1 or later. However, FFmpeg incorporates several optional parts and optimizations that are covered by the GNU General Public License (GPL) version 2 or later. If those parts get used the GPL applies to all of FFmpeg.

    Read the license texts to learn how this affects programs built on top of FFmpeg or reusing FFmpeg. You may also wish to have a look at the GPL FAQ.

    Note that FFmpeg is not available under any other licensing terms, especially not proprietary/commercial ones, not even in exchange for payment.


    Genug für ein Badge!

    Es wird EMPFHOLEN, dass alle erforderlichen Lizenz(en) für die vom Projekt entwickelte Software von der Open Source Initiative (OSI) anerkannt werden. [floss_license_osi]

    Genug für ein Badge!

    Das Projekt MUSS die Lizenz(en) seiner Erzeugnisse an einem üblichen Ort in ihrem Quell-Repository veröffentlichen. (URL erforderlich) [license_location]

    https://git.ffmpeg.org/gitweb/ffmpeg.git/blob_plain/HEAD:/COPYING.GPLv2 https://git.ffmpeg.org/gitweb/ffmpeg.git/blob_plain/HEAD:/COPYING.GPLv3 https://git.ffmpeg.org/gitweb/ffmpeg.git/blob_plain/HEAD:/COPYING.LGPLv2.1 https://git.ffmpeg.org/gitweb/ffmpeg.git/blob_plain/HEAD:/COPYING.LGPLv3


  • Dokumentation


    Genug für ein Badge!

    Das Projekt MUSS eine grundlegende Dokumentation für die vom Projekt entwickelte Software liefern. [documentation_basics]

    The documentation for FFmpeg is built from: https://git.ffmpeg.org/gitweb/ffmpeg.git/tree/HEAD:/doc. The documentation for the FFmpeg website is built from: https://git.ffmpeg.org/ffmpeg-web.

    As such, the recommended starting point for exploring the docs is: https://ffmpeg.org/documentation.html.

    FFmpeg provides security information such as CVE numbers and commits addressing them at: https://ffmpeg.org/security.html.


    Genug für ein Badge!

    Das Projekt MUSS Referenzdokumentationen enthalten, die externe Schnittstellen (beides, Eingabe und Ausgabe) der vom Projekt entwickelten Software beschreiben. [documentation_interface]

    https://ffmpeg.org/documentation.html - the starting reference for documentation.

    For some community documentation, please see: https://trac.ffmpeg.org/wiki. For a short tutorial, please see: http://dranger.com/ffmpeg/. For a short book, please see: http://ffmpeg.tv/.


  • Andere


    Genug für ein Badge!

    Die Projekt-Seiten (Website, Repository und Download-URLs) MÜSSEN HTTPS mit TLS unterstützen. [sites_https]

    website: https://ffmpeg.org/. repository: https://git.ffmpeg.org/ffmpeg.git. snapshot/release download: https://ffmpeg.org/download.html#releases.


    Genug für ein Badge!

    Das Projekt MUSS einen oder mehrere Mechanismen zur Diskussion (einschließlich der vorgeschlagenen Änderungen und Issues) haben, die durchsuchbar sind, bei denen Nachrichten und Themen durch URL adressiert werden, neue Personen an einigen der Diskussionen teilnehmen können und keine lokale Installation von proprietärer Software erfordern. [discussion]

    mailing list: https://ffmpeg.org/contact.html#MailingLists IRC: https://ffmpeg.org/contact.html#IRCChannels forum: https://ffmpeg.org/contact.html#Forums bug tracker: https://trac.ffmpeg.org/.


    Genug für ein Badge!

    Das Projekt SOLLTE Dokumentationen in englischer Sprache zur Verfügung stellen und in der Lage sein, Fehlerberichte und Kommentare zum Code in Englisch zu akzeptieren. [english]

    As can be seen at https://ffmpeg.org/documentation.html, all FFmpeg documentation is in English.


    Genug für ein Badge!

    The project MUST be maintained. [maintained]


(Erweitert) Welche anderen Benutzer haben zusätzliche Rechte zum Bearbeiten dieses Badge-Antrags? Derzeit: []



  • Öffentliches Versionskontroll-Source-Repository


    Genug für ein Badge!

    Das Projekt MUSS ein versiongesteuertes Quell-Repository haben, das öffentlich lesbar ist und eine URL hat. [repo_public]

    https://git.ffmpeg.org/ffmpeg.git


    Genug für ein Badge!

    Das Quell-Repository des Projekts MUSS verfolgen, welche Änderungen vorgenommen wurden, wer die Änderungen vorgenommen hat und wann die Änderungen vorgenommen wurden. [repo_track]

    https://git.ffmpeg.org/ffmpeg.git - it uses Git, and as such keeps track of the revisions. Note that revisions may also be viewed at the FFmpeg cvslog archives: https://lists.ffmpeg.org/pipermail/ffmpeg-cvslog/. Remark: The name cvslog dates to when the project used CVS. Now, the project uses Git.


    Genug für ein Badge!

    Um eine kollaborative Überprüfung zu ermöglichen, MUSS das Quell-Repository des Projekts Zwischenversionen für die Überprüfung zwischen Releases enthalten. Es DARF NICHT nur endgültige Veröffentlichungen enthalten. [repo_interim]

    FFmpeg's repository is public, so in addition to the release branches (e.g https://git.ffmpeg.org/gitweb/ffmpeg.git/shortlog/refs/heads/release/3.0), we have a branch for master (https://git.ffmpeg.org/gitweb/ffmpeg.git/shortlog/refs/heads/master). Developers also sometimes maintain their own private forks for work in progress, e.g https://github.com/gajjanag/FFmpeg).


    Genug für ein Badge!

    Es ist EMPFOHLEN, dass eine gemeinsame genutzte Versionskontrollsoftware (z.B. git oder mercurial) für das Source-Repository des Projekts verwendet wird. [repo_distributed]

    Git is currently used, as reflected by https://git.ffmpeg.org/ffmpeg.git .


  • Einzigartige Versionsnummerierung


    Genug für ein Badge!

    Die für Endbenutzer vorgesehenen Projektergebnisse MÜSSEN eine eindeutige Versionskennung für jede Freigabe haben. [version_unique]

    https://ffmpeg.org/developer.html#Release-process-1 - this describes the release process. In particular, major and minor version numbers are maintained for releases.


    Gerade genug für ein Badge.

    Es ist EMPFHOLEN, dass ein Semantic Versioning (SemVer) oder Calendar Versioning (CalVer) Versionsnummerierungsformat für Releases verwendet wird. Es ist EMPFHOLEN, dass Anwender des CalVer Formates auch die Micro Ebene mit angeben. [version_semver]

    Genug für ein Badge!

    Es wird erwartet, dass Projekte jedes Release innerhalb ihres Versionskontrollsystems identifizieren. Zum Beispiel wird erwartet, dass die Projekte, die git verwenden, jedes Release mit git-Tags identifizieren. [version_tags]

    https://git.ffmpeg.org/gitweb/ffmpeg.git/tags - each release is tagged. As an example, please see https://git.ffmpeg.org/gitweb/ffmpeg.git/tag/ee4ec90241c2e8c2ab69a1155fc3df86ff6f09ad.


  • Versionshinweise


    Genug für ein Badge!

    Das Projekt MUSS zu jedem Update Releasenotes enthalten, die eine lesbare Zusammenfassung der wichtigsten Änderungen der Version sind, damit Benutzer/innen sehen können, ob sie aktualisieren sollten und was die Auswirkungen des Updades sind. Die Releasenotes DÜRFEN NICHT die Rohausgabe eines Versionskontrollprotokolls sein (z. B. die "git log"-Befehlsergebnisse sind keine Releasenotes). Für Projekte, deren Ergebnisse nicht für die Wiederverwendung an mehreren Standorten bestimmt sind (z. B. die Software für eine einzelne Website oder Dienstleistung) und eine kontinuierliche Lieferung verwenden, können Sie "N/A" auswählen. (URL erforderlich) [release_notes]

    https://git.ffmpeg.org/gitweb/ffmpeg.git/blob/HEAD:/Changelog - this file keeps track of the release notes.


    Genug für ein Badge!

    Die Releasenotes MÜSSEN jede öffentlich bekannte Laufzeit-Sicherheitslücke mit einer CVE-Zuweisung oder Ähnlichem kennzeichnen, die in der aktuellen veröffentlichten Version behoben sind. Dieses Kriterium darf als nicht anwendbar (N/A) markiert werden, wenn Benutzer typischerweise nicht selbst die Software aktualisieren. Diese Kirterium trifft nur auf die Projektergebnisse zu, nicht auf Abhängikeiten. Wenn keine Releasenotes vorhanden sind oder keine öffentlich bekannten Sicherheitslücken bekannt sind, wählen Sie (N/A). [release_notes_vulns]

    https://ffmpeg.org/security.html - FFmpeg associates public vulnerabilities with the release that fixes them here.


  • Bug-Report-Prozess


    Genug für ein Badge!

    Das Projekt muss einen Prozess für Benutzer enthalten, um Fehlerberichte zu senden (z. B. mit einem Issue-Tracker oder eine Mailing-Liste). (URL erforderlich) [report_process]

    https://trac.ffmpeg.org/ - the bug tracker for FFmpeg.


    Genug für ein Badge!

    Das Projekt SOLLTE einen Issue-Tracker für die Nachverfolgung einzelner Issues verwenden. [report_tracker]

    https://trac.ffmpeg.org/ticket/5689 - an illustration of an individual ticket.


    Genug für ein Badge!

    Das Projekt MUSS eine Mehrheit der in den letzten 2-12 Monaten eingereichten Fehlerberichte berücksichtigen; Die Antwort muss keine Korrektur enthalten. [report_responses]

    As can be seen at https://trac.ffmpeg.org/query?status=new&status=open&status=reopened&col=id&col=summary&col=status&col=type&col=component&col=version&col=time&col=changetime&report=1&desc=1&order=time, the project does respond to most bug reports within a few days.

    A significant fraction of them are fixed: https://trac.ffmpeg.org/query?status=closed&col=id&col=summary&col=status&col=owner&col=type&col=priority&col=component&order=priority.


    Genug für ein Badge!

    Das Projekt SOLLTE auf eine Mehrheit (>50%) der Verbesserungsvorschläge in den letzten 2-12 Monaten (einschließlich) reagieren. [enhancement_responses]

    https://trac.ffmpeg.org/query?status=closed&status=new&status=open&desc=1&order=priority - as can be seen here, all incoming reports are classified into categories, and can be associated with the "enhancement" type or the "wish" priority.

    Also clear from the above links is that a significant fraction are implemented.


    Genug für ein Badge!

    Das Projekt MUSS ein öffentlich zugängliches Archiv für Berichte und Antworten für die spätere Suche haben. (URL erforderlich) [report_archive]

    https://trac.ffmpeg.org/report - this allows searching through the report database via a variety of queries.


  • Anfälligkeits-Prozessbericht


    Genug für ein Badge!

    Das Projekt MUSS den Prozess für die Meldung von Schwachstellen auf der Projektseite veröffentlichen. (URL erforderlich) [vulnerability_report_process]

    As seen at: https://ffmpeg.org/security.html, vulnerabilities are reported to ffmpeg-security@ffmpeg.org.


    Genug für ein Badge!

    Falls das Projekt einen Kanal zur Übertragung von Schwachstellen besitzt, dann MUSS diese Informationsübertragung privat ablaufen. (URL erforderlich) [vulnerability_report_private]

    As seen at: https://ffmpeg.org/security.html, vulnerabilities reported to ffmpeg-security@ffmpeg.org are private.


    Genug für ein Badge!

    Das Projekts MUSS mindestens binnen 14 Tagen, auf jeden in den letzten 6 Monaten erhaltenen Anfälligkeitsbericht, reagieren. [vulnerability_report_response]

    As can be seen at: https://ffmpeg.org/security.html, regular point releases are made to address security vulnerabilities. For further evidence of a regular response time, please see: https://security.googleblog.com/2014/01/ffmpeg-and-thousand-fixes.html.

    For more detailed statistics, please check the commit log - any commit addressing a CVE has the CVE number associated with it via the commit message.


  • Produktivsystem


    Genug für ein Badge!

    Falls die vom Projekt entwickelte Software vor Benutzung kompiliert werden muss, MUSS das Projekt ein funktionierendes Buildsystem bereitstellen, das den Quellcode automatisch in Software übersetzt. [build]

    FFmpeg can be built on a variety of platforms, including but not limited to Windows, GNU/Linux, OS X, BSD's, Solaris. Generally, it may be accomplished via ./configure, make, make install with a few flags, see https://trac.ffmpeg.org/wiki/CompilationGuide/Generic for details.


    Gerade genug für ein Badge.

    Es ist EMPFHOLEN, dass gewöhnliche Werkzeuge zum Kompilieren von Software benutzt wird. [build_common_tools]

    FFmpeg uses make and the configure script is written in sh. The configure script relies on some standard utilities, like tr, grep, etc for testing the availability of components for building. A standard C compiler and linker are required, but FFmpeg does not restrict itself to a particular toolchain. For good performance, yasm is required for building assembly files, though this is not strictly needed as --disable-yasm is supported by configure.


    Genug für ein Badge!

    Das Projekt SOLLTE allein mit FLOSS-Werkzeugen gebaut werden können. [build_floss_tools]

    FFmpeg builds fine with FLOSS tools, please see e.g fate.ffmpeg.org.


  • Automatisierte Test-Suite


    Genug für ein Badge!

    Das Projekt MUSS mindestens eine automatisierte Test-Suite verwenden, die öffentlich als FLOSS veröffentlicht wird (diese Test-Suite kann als separates FLOSS-Projekt gepflegt werden). Das Project MUSS verständlich zeigen oder dokumentieren, wie die Test-Suite ausgeführt wird (z. B. durch ein Continuous Integration (CI) Script oder als Dokumentation in Dateien, wie z. B. BUILD.md, README.md oder CONTRIBUTING.md). [test]

    FFmpeg uses the FATE automated test suite: http://fate.ffmpeg.org/. The client side infrastructure is maintained within the FFmpeg repo. Server side is maintained at https://git.ffmpeg.org/fateserver. For details on how this works, please see https://ffmpeg.org/fate.html.


    Genug für ein Badge!

    Eine Test-Suite SOLLTE in einer üblichen Weise für diese Programmiersprache aufrufbar sein. [test_invocation]

    As seen from https://ffmpeg.org/fate.html, invoking the FATE test suite is usually as simple as make fate. To obtain the test samples, make fate-rsync pulls samples from the https://samples.ffmpeg.org/ directory.


    Genug für ein Badge!

    Es wird erwartet, dass die Test-Suite die meisten (oder idealerweise alle) Code-Zweige, Eingabefelder und Funktionalitäten abdeckt. [test_most]

    The code coverage is generally at a 66%-75% level. It is still being actively worked upon, with http://coverage.ffmpeg.org/ showing the current status.


    Genug für ein Badge!

    Es wird erwartet, dass das Projekt eine kontinuierliche Integration durchführt (wo neuer oder geänderter Code häufig in ein zentrales Code-Repository integriert wird und automatisierte Tests auf diesen Ergebnissen durchgeführt werden). [test_continuous_integration]

    A number of FATE clients are run, as can be seen from fate.ffmpeg.org. Clients get added and removed, but at any given moment there are a reasonable variety of CPU architectures, operating systems, and toolchains represented at fate.ffmpeg.org.


  • Neue Funktionalitätsüberprüfung


    Genug für ein Badge!

    Das Projekt MUSS allgemeine Grundregeln (formal oder nicht) haben, die als wesentliche neue Funktionalität der Software des Projektes hinzugefügt werden. Tests dieser Funktionalität sollten zu einer automatisierten Test-Suite hinzugefügt werden. [test_policy]

    This is currently only an informal requirement, and generally is enforced only in libavcodec, where new encoders and decoders must be accompanied by tests.

    However, this is not uniformly enforced. Roughly, libavfilter tends to lack a lot of tests, and many new filters do not have tests associated with them immediately. It is the general expectation (informal) that tests will be added by the developer over time.


    Nicht genug für ein Badge.

    Das Projekt MUSS nachweisen, dass die test_policy für das Hinzufügen von Tests in den jüngsten großen Änderungen an der Projektsoftware eingehalten wurde. [tests_are_added]

    Tests are lacking for all libraries except libavcodec.


    Gerade genug für ein Badge.

    Es wird erwartet, dass diese Richtlinien zum Hinzufügen von Tests (siehe test_policy ) in den Anweisungen für Änderungsvorschläge dokumentiert werden. [tests_documented_added]

    As seen above, the adding of tests is currently quite informal. Documentation is present at https://ffmpeg.org/developer.html, but it is sometimes vague.


  • Warnhinweise


    Genug für ein Badge!

    Das Projekt MUSS einen oder mehrere Compiler-Warn-Flags, einen "sicheren" Sprachmodus oder ein separates "Linter" -Tool verwenden, um nach qualitativen Fehlern im Code oder gängigen einfachen Fehlern zu suchen, wenn es mindestens ein FLOSS-Tool gibt, das dieses Kriterium implementieren kann in der gewählten sprache [warnings]

    There are FATE clients running the ubsan toolchain, valgrind, etc. Generally speaking, -Wall and some other warnings are enabled by default for all compilations.


    Genug für ein Badge!

    Das Projekt MUSS auf Warnungen reagieren. [warnings_fixed]

    There are numerous commits in the repository addressing warnings, and patches are regularly submitted and reviewed for the same.

    However, it must be noted that as FFmpeg supports a variety of toolchains, some of which omit bogus warnings, and that too sometimes only for specific versions of the toolchain, it is infeasible to reach a 0 warnings policy across all FATE clients. Generally, on "standard" toolchains, such as GNU/Linux OR OS X + gcc OR clang, the warning count does not exceed 100, and most warning cleanup work addresses such toolchains.


    Gerade genug für ein Badge.

    Es wird erwartet, dass Projekte Warnungen in der Software, die durch das Projekt produziert wird, sorgfältig berücksichtigen. [warnings_strict]

    As noted above, as FFmpeg supports a variety of toolchains, some of which omit bogus warnings, and that too sometimes only for specific versions of the toolchain, it is infeasible to reach a 0 warnings policy across all FATE clients. Generally, on "standard" toolchains, such as GNU/Linux OR OS X + gcc OR clang, the warning count does not exceed 100, and most warning cleanup work addresses such toolchains.

    It is thus counterproductive to enforce a maximal strictness policy wrt warnings in FFmpeg. However, it should be noted that some developers experiment with additional warning combinations, and when the warnings stop being too noisy, the project is open to introducing these flags into the default set of warning flags.


  • Wissen über sichere Entwicklungspraktiken


    Genug für ein Badge!

    Das Projekt MUSS mindestens einen primären Entwickler haben, der weiß, wie man sichere Software entwerfen kann. (Siehe "Details" für spezifische Anforderungen.) [know_secure_design]

    Nicholas George and Michael Niedermayer (among possibly others) are developers who understand the above principles and actively use them. Michael Niedermayer is perhaps the only currently active developer who meets all of the above criteria.


    Genug für ein Badge!

    Mindestens einer der primären Entwickler des Projekts MUSS über weitläufige Arten von Fehlern, die zu Schwachstellen in dieser Art von Software führen, Bescheid wissen sowie mindestens eine Methode, um jede von ihnen zu beseitigen oder zu mildern. [know_common_errors]

    FFmpeg uses Coverity (https://scan.coverity.com/), a number of FATE clients use aids like ubsan, Valgrind, Helgrind, etc.

    FFmpeg does address the issue of creating more secure defaults, defensive programming practices, etc from time to time.


  • Verwende grundlegend gute kryptographische Praktiken

    Beachten Sie, dass einige Software keine kryptographischen Mechanismen verwenden muss. Wenn Ihr Project Software erstellt das (1) kryptographische funktionen einbindet, aktiviert, oder ermöglicht und (2) aus den USA heraus an nicht US-Bürger verteilt wird, dann könnten sie rechtlich zu weiterne Schritten gezwungen sein. Meistens beinhaltet dies lediglich das Senden einer E-Mail. Für mehr Informationen, siehe den Abschnitt zu Encryption in Understanding Open Source Technology & US Export Controls.

    Genug für ein Badge!

    Die vom Projekt entwickelte Software MUSS standardmäßig nur kryptografische Protokolle und Algorithmen verwenden, die öffentlich sind und von Experten überprüft wurden (falls kryptographische Protokolle und Algorithmen verwendet werden). [crypto_published]

    As seen from files like aes.c, blowfish.c, etc in libavutil/, FFmpeg only uses publicly known cryptographic algorithms by default.


    Gerade genug für ein Badge.

    Wenn die Software, die durch das Projekt produziert wird, eine Anwendung oder Bibliothek ist, und ihr Hauptzweck nicht die Kryptographie ist, dann SOLLTE sie lediglich Software einbinden, die speziell für kryptographische Funktionen entworfen ist; Sie SOLLTE NICHT eine eigene Implementierung vornehmen. [crypto_call]

    FFmpeg reimplements common cryptographic primitives like AES, Blowfish, SHA, etc in files within FFmpeg. Many of them are simply used to meet a multimedia specification, and in many cases it is not security relevant. As FFmpeg is a very widely used library deployed in a variety of configurations, it is desired to have as few external dependencies as possible.


    Genug für ein Badge!

    Alle Funktionalitäten in der vom Projekt entwickelten Software, die von Kryptographie abhängigen, MÜSSEN mit FLOSS implementiert werden. [crypto_floss]

    This may be seen by examining the source code.


    Genug für ein Badge!

    Die Sicherheitsmechanismen innerhalb der vom Projekt entwickelten Software, MÜSSEN Standard-Keylängen verwenden, die die NIST-Mindestanforderungen bis zum Jahr 2030 erfüllen (wie im Jahr 2012 festgelegt). Es MUSS möglich sein, die Software so zu konfigurieren, dass kürzere Keylängen vollständig deaktiviert werden können. [crypto_keylength]

    Although FFmpeg does provide a low level DES API, it is used strictly for format interoperability and is thus not part of any security mechanism.


    Genug für ein Badge!

    Die Standard-Sicherheitsmechanismen innerhalb der vom Projekt entwickelten Software DÜRFEN NICHT von defekten kryptographischen Algorithmen abhängen (z.B. MD4, MD5, Single DES, RC4, Dual_EC_DRBG) oder Chiffre-Modi verwenden, die dem Kontext unangemessen sind, außer sie sind notwendig, um kompatible Protokolle bereitzustellen (wenn das Protokoll in der neusten Version in der Zielumgebung zum Einsatz kommt, die Zielumgebung solch ein Protokoll erfordert und das Zielsystem keine sicherere Alternative anbietet). Die Dokumentation MUSS auf jegliche Sicherheitsrisiken hinweisen und bekannte Vorsichtsmaßnahmen beschreiben, sollten unsichere Protokolle unumgäglich sein. [crypto_working]

    FFmpeg does implement and export a number of low level cryptographic primitives, some of which are broken such as MD5 and single DES. However, it should be noted that the usage of these primitives within FFmpeg are confined to instances where it is necessary in order to meet some specification.


    Genug für ein Badge!

    Die Standard-Sicherheitsmechanismen innerhalb der vom Projekt entwickelten Software SOLLTEN NICHT nicht von kryptographischen Algorithmen oder Modi mit bekannten schweren Schwächen abhängen (z.B. SHA-1-Kryptographie-Hash-Algorithmus oder CBC-Modus in SSH). [crypto_weaknesses]

    Same remarks as above. In particular, SHA-1 is used for creating identifiers, and is not used for a security purpose.


    Genug für ein Badge!

    Die Sicherheitsmechanismen innerhalb der vom Projekt entwickelten Software SOLLTEN Perfect Forward Secrecy für wichtige Vereinbarungsprotokolle implementieren, so dass ein Sitzungsschlüssel, der aus einer Reihe von Langzeitschlüsseln abgeleitet wird, nicht beeinträchtigt werden kann, wenn einer der Langzeitschlüssel in der Zukunft kompromittiert wird. [crypto_pfs]

    Genug für ein Badge!

    Wenn die vom Projekt erzeugte Software Passwörter für die Authentifizierung von externen Benutzern speichert, MÜSSEN die Passwörter als iterierte Hashes mit einem per-User-Salt unter Verwendung eines Key-Stretching (iterierten) Algorithmus (z.B. Argon2id, Bcrypt, Scrypt, or PBKDF2). Siehe auch OWASP Password Storage Cheat Sheet). [crypto_password_storage]

    FFmpeg does not store passwords for authentication of external users.


    Genug für ein Badge!

    Die Sicherheitsmechanismen innerhalb der vom Projekt entwickelten Software MÜSSEN alle kryptographischen Schlüssel und Nonces mit einem kryptographisch sicheren Zufallszahlengenerator erzeugen und DÜRFEN NICHT mit Generatoren arbeiten, die kryptographisch unsicher sind. [crypto_random]

    As can be seen from https://git.ffmpeg.org/gitweb/ffmpeg.git/blob/HEAD:/libavutil/random_seed.c, FFmpeg makes a best effort at providing a cryptographically secure random number generator.


  • Gesicherte Zustellung gegen Man-in-the-Middle-/MITM-Angriffe


    Genug für ein Badge!

    Das Projekt MUSS einen Auslieferungsmechanismus verwenden, der den MITM-Angriffen entgegenwirkt. Die Verwendung von https oder ssh + scp ist akzeptabel. [delivery_mitm]

    PGP signatures are provided: https://ffmpeg.org/download.html#releases. The download is over https.


    Genug für ein Badge!

    Ein kryptographischer Hash (z.B. sha1sum) DARF NICHT über http abgerufen und ohne Überprüfung einer kryptographischen Signatur verwendet werden. [delivery_unsigned]

    PGP signatures are provided: https://ffmpeg.org/download.html#releases. The download is over https.


  • Öffentlich bekannte Schwachstellen wurden behoben


    Genug für ein Badge!

    Es DARF KEINE ungepatchte Schwachstelle von mittlerer oder höherer Schwere enthalten sein, die seit mehr als 60 Tagen öffentlich bekannt ist. [vulnerabilities_fixed_60_days]

    FFmpeg fixes public vulnerabilities much more quickly than this. Please see the commit logs for evidence of this.


    Genug für ein Badge!

    Projekte SOLLTEN alle kritischen Schwachstellen schnell beheben, nachdem sie gemeldet wurden. [vulnerabilities_critical_fixed]

    FFmpeg has a track record of fixing CVE's promptly. Some evidence for this: 1. https://ffmpeg.org/security.html 2. Commit logs - all CVE related commits have the CVE number included in the message 3. https://security.googleblog.com/2014/01/ffmpeg-and-thousand-fixes.html.


  • Andere Sicherheitsissues


    Genug für ein Badge!

    Die öffentlichen Repositorys DÜRFEN NICHT gültige private Zugriffsdaten enthalten (z. B. ein funktionierendes Passwort oder einen privaten Schlüssel), die den öffentlichen Zugriff einschränken sollen. [no_leaked_credentials]

  • Statische Codeanalyse


    Genug für ein Badge!

    Mindestens ein Tool zur Analyse statischer Codes (über Compiler-Warnungen und "sichere" Sprachmodi hinaus) MUSS vor der Veröffentlichung auf jede vorgeschlagene größere Produktionsversion der Software angewendet werden, wenn mindestens ein FLOSS-Tool dieses Kriterium in der ausgewählten Sprache implementiert. [static_analysis]

    FFmpeg uses Coverity (scan.coverity.com) before production releases, which checks for a variety of common C programming mistakes. It should be noted that Coverity is not perfect, and there are false positives which is why FFmpeg does not necessarily "clear" the list before release. Nevertheless, an effort is made to fix Coverity reports before release.


    Genug für ein Badge!

    Es wird davon ausgegangen, dass mindestens eines der statischen Analysewerkzeuge, die für das statische Analysekriterium verwendet wurde, Regeln oder Ansätze einschließt, um nach häufigen Schwachstellen in der analysierten Sprache oder Umgebung zu suchen. [static_analysis_common_vulnerabilities]

    FFmpeg uses Coverity (scan.coverity.com), which checks for a variety of common C programming mistakes.


    Genug für ein Badge!

    Alle mittel- und höhergradig ausnutzbaren Schwachstellen, die mit statischer Codeanalyse entdeckt wurden, MÜSSEN nach der Entdeckung rechtzeitig behoben werden. [static_analysis_fixed]

    FFmpeg fixes exploitable vulnerabilities promptly, regardless of whether they are found via static analysis (e.g privately via Coverity) or made public.


    Gerade genug für ein Badge.

    Es wird EMPFOHLEN, dass eine statische Quellcode-Analyse bei jedem Commit oder zumindest täglich ausgeführt wird. [static_analysis_often]

  • Dynamische Codeanalyse


    Gerade genug für ein Badge.

    Es ist EMPFHOLEN, dass mindestens ein dynamisches Analyse-Tool auf jede vorgeschlagene größere Veröffentlichung der Software vor seiner Freigabe angewendet wird. [dynamic_analysis]

    Genug für ein Badge!

    Es ist EMPFHOLEN, dass die vom Projekt entwickelte Software, falls sie Software von einer Speicher-unsicheren Sprache (z. B. C oder C ++) enthält, regelmäßig mindestens ein dynamisches Werkzeug (z.B. ein Fuzzer oder ein Web-Anwendungs-Scanner) in Kombination mit einem Mechanismus zur Erkennung von Speichersicherheitsproblemen wie Puffer-Overwrites verwendet. Wenn das Projekt keine Software entwickelt, die in einer Speicher-unsicheren Sprache geschrieben ist, wählen Sie "nicht anwendbar" (N/A). [dynamic_analysis_unsafe]

    Fuzzing is certainly performed quite regularly on FFmpeg: https://security.googleblog.com/2014/01/ffmpeg-and-thousand-fixes.html, http://obe.tv/about-us/obe-blog/item/26-fuzzing-ffmpeg-for-fun-and-profit. Note that this is being done by third parties.


    Genug für ein Badge!

    Es ist EMPFHOLEN, dass das Projekt eine Konfigurations benutzt, die zumindest etwas dynamischen Analyse nutzt (wie z.B. testing oder fuzzing), welche Assertions erlauben. In vielen Fällen sollten diese Assertions nicht in Production Builds aktiviert sein. [dynamic_analysis_enable_assertions]

    FFmpeg uses assertions at various locations in the code (https://git.ffmpeg.org/gitweb/ffmpeg.git/blob/HEAD:/libavutil/random_seed.c).


    Genug für ein Badge!

    Alle mittel- und höhergradig ausnutzbaren Schwachstellen, die mit dynamischer Codeanalyse entdeckt werden, MÜSSEN zügig behoben werden, nachdem sie bestätigt wurden. [dynamic_analysis_fixed]

    FFmpeg does tend to fix vulnerabilities discovered via dynamic code analysis in a timely fashion: https://security.googleblog.com/2014/01/ffmpeg-and-thousand-fixes.html, http://obe.tv/about-us/obe-blog/item/26-fuzzing-ffmpeg-for-fun-and-profit. Note that is being done by third parties.



Die Daten sind unter der Creative Commons Attribution 3.0-Lizenz (CC-BY-3.0) verfügbar, bereitgestellt von der Open Source Security Foundation unter den Nutzungsbedingungen. Es ist allen erlaubt, die Daten zu teilen und anzupassen, müssen aber einen angemessene Hinweis auf den Urheber geben. Bitte geben Sie als Urheber Ganesh Ajjanagadde und die OpenSSF Best Practices Badge Mitwirkenden an.

Projekt-Badge-Eintrag im Besitz von: Ganesh Ajjanagadde.
Eintrag erstellt: 2016-07-04 19:43:22 UTC, zuletzt aktualisiert: 2016-07-17 01:18:29 UTC.

Zurück