dso

Los proyectos que siguen las mejores prácticas a continuación pueden autocertificarse voluntariamente y demostrar que han obtenido una insignia de mejores prácticas de Open Source Security Foundation (OpenSSF).

No existe un conjunto de prácticas que pueda garantizar que el software nunca tendrá defectos o vulnerabilidades; incluso los métodos formales pueden fallar si las especificaciones o suposiciones son incorrectas. Tampoco existe ningún conjunto de prácticas que pueda garantizar que un proyecto mantenga una comunidad de desarrollo saludable y que funcione bien. Sin embargo, seguir las mejores prácticas puede ayudar a mejorar los resultados de los proyectos. Por ejemplo, algunas prácticas permiten la revisión por parte de múltiples personas antes del lanzamiento, lo que puede ayudar a encontrar vulnerabilidades técnicas que de otro modo serían difíciles de encontrar y ayudar a generar confianza y un deseo repetido de interacción entre desarrolladores de diferentes compañías. Para obtener una insignia, se deben cumplir todos los criterios DEBE y NO DEBE, se deben cumplir, así como todos los criterios DEBERÍAN deben cumplirse o ser justificados, y todos los criterios SUGERIDOS se pueden cumplir o incumplir (queremos que se consideren al menos). Si desea añadir texto como justificación mediante un comentario genérico, en lugar de ser un razonamiento de que la situación es aceptable, comience el bloque de texto con '//' seguido de un espacio. Los comentarios son bienvenidos a través del sitio de GitHub mediante "issues" o "pull requests". También hay una lista de correo electrónico para el tema principal.

Con mucho gusto proporcionaríamos la información en varios idiomas, sin embargo, si hay algún conflicto o inconsistencia entre las traducciones, la versión en inglés es la versión autorizada.
Si este es su proyecto, por favor muestre el estado de su insignia en la página de su proyecto. El estado de la insignia se ve así: El nivel de insignia para el proyecto 12920 es in_progress Aquí se explica cómo insertarla:
Puede mostrar el estado de su insignia insertando esto en su archivo markdown:
[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/12920/badge)](https://www.bestpractices.dev/projects/12920)
o insertando esto en su HTML:
<a href="https://www.bestpractices.dev/projects/12920"><img src="https://www.bestpractices.dev/projects/12920/badge"></a>


Estos son los criterios de nivel Básico. También puede ver los criterios de nivel Plata o Oro.

Baseline Series: Nivel Base 1 Nivel Base 2 Nivel Base 3

        

 Fundamentos 13/13

  • General

    Tenga en cuenta que otros proyectos pueden usar el mismo nombre.

    Zero-persistence secret injection for Docker containers. Eliminates secret storage on disk by retrieving credentials at runtime from AWS Secrets Manager, Azure Key Vault, HashiCorp Vault, or Huawei Cloud CSMS.

    Por favor use formato de expresión de licencia SPDX; los ejemplos incluyen "Apache-2.0", "BSD-2-Clause", "BSD-3-Clause", "GPL-2.0+", "LGPL-3.0+", "MIT" y "(BSD-2-Clause OR Ruby)". No incluya comillas simples o comillas dobles.
    Si hay más de un lenguaje, enumérelos como valores separados por comas (los espacios son opcionales) y ordénelos de más a menos usado. Si hay una lista larga, por favor enumere al menos los tres primeros más comunes. Si no hay lenguaje (por ejemplo, este es un proyecto solo de documentación o solo de pruebas), use el carácter único "-". Por favor use una capitalización convencional para cada lenguaje, por ejemplo, "JavaScript".
    La Common Platform Enumeration (CPE) es un esquema de nomenclatura estructurado para sistemas de tecnología de la información, software y paquetes. Se utiliza en varios sistemas y bases de datos al reportar vulnerabilidades.

    Phase 1 CNCF Sandbox preparation completed. Fixed critical production blockers, established governance model, published roadmap, and implemented automated quality gates. Application pending CNCF review. All code production-ready and security-hardened.

  • Contenido básico del sitio web del proyecto


    ¡Suficiente para una insignia!

    El sitio web del proyecto DEBE describir sucintamente qué hace el software (¿qué problema resuelve?). [description_good]
    Esto DEBE estar en un lenguaje que los usuarios potenciales puedan entender (por ejemplo, utiliza jerga mínima).

    The project README.md clearly describes DSO as: "Zero-persistence secret injection for Docker containers. Eliminates secret storage on disk by retrieving credentials at runtime from AWS Secrets Manager, Azure Key Vault, HashiCorp Vault, or Huawei Cloud CSMS." The GitHub repository home page explains the problem being solved and key features.


    ¡Suficiente para una insignia!

    El sitio web del proyecto DEBE proporcionar información sobre cómo: obtener, proporcionar comentarios (como informes de errores o mejoras), y contribuir al software. [interact]

    The project provides:

    1. How to obtain: GitHub releases page and Docker Hub with installation instructions in README.md

    2. How to provide feedback: GitHub issue templates for bugs, features, and security vulnerabilities (/.github/ISSUE_TEMPLATE/)

    3. How to contribute: CONTRIBUTING.md file details the pull request process, code review standards, and governance model. GitHub discussions enabled for community interaction.

    All information is accessible and non-proprietary.


    ¡Suficiente para una insignia!

    La información sobre cómo contribuir DEBE explicar el proceso de contribución (por ejemplo, ¿se utilizan "pull requests" en el proyecto?) (URL requerida) [contribution]
    Se asume que los proyectos en GitHub usan "incidencias" y "pull requests" a menos que se indique lo contrario. Esta información puede ser breve, por ejemplo, indicando que el proyecto utiliza "pull requests", un gestor de incidencias o publicaciones en una lista de correo (Indíquese cuál)

    Non-trivial contribution file in repository: https://github.com/docker-secret-operator/dso/blob/main/CONTRIBUTING.md.


    ¡Suficiente para una insignia!

    La información sobre cómo contribuir DEBERÍA incluir los requisitos para las contribuciones aceptables (por ejemplo, una referencia a cualquier estándar de codificación requerido). (URL requerida) [contribution_requirements]

    Code standards required: go vet, go fmt, go test -race
    Minimum coverage: 70% overall, 85% critical packages
    Pull request review required per GOVERNANCE.md
    All GitHub Actions CI/CD checks must pass
    Details: https://github.com/docker-secret-operator/dso/blob/main/GOVERNANCE.md


  • Licencia FLOSS


    ¡Suficiente para una insignia!

    El software producido por el proyecto DEBE ser publicado como FLOSS. [floss_license]
    FLOSS es software publicado de una manera que cumple con la Definición de Código Abierto o la Definición de Software Libre. Ejemplos de tales licencias incluyen CC0, MIT, BSD 2-clause, BSD 3-clause revised, Apache 2.0, Lesser GNU General Public License (LGPL), y la GNU General Public License (GPL). Para nuestros propósitos, esto significa que la licencia DEBE ser: El software PUEDE también estar licenciado de otras maneras (por ejemplo, "GPLv2 o propietario" es aceptable).

    The Apache-2.0 license is approved by the Open Source Initiative (OSI).


    ¡Suficiente para una insignia!

    Se SUGIERE que cualquier licencia(s) requerida(s) para el software producido por el proyecto sea aprobada por la Open Source Initiative (OSI). [floss_license_osi]
    La OSI utiliza un proceso de aprobación riguroso para determinar qué licencias son OSS.

    The Apache-2.0 license is approved by the Open Source Initiative (OSI).


    ¡Suficiente para una insignia!

    El proyecto DEBE publicar la(s) licencia(s) de sus resultados en una ubicación estándar en su repositorio de código fuente. (URL requerida) [license_location]
    Una convención es publicar la licencia como un archivo de nivel superior llamado LICENSE o COPYING, que PUEDE ser seguido por una extensión como ".txt" o ".md". Una convención alternativa es tener un directorio llamado LICENSES que contenga archivo(s) de licencia; estos archivos generalmente se nombran según su identificador de licencia SPDX seguido de una extensión de archivo apropiada, como se describe en la Especificación REUSE. Tenga en cuenta que este criterio es solo un requisito para el repositorio de código fuente. NO necesita incluir el archivo de licencia al generar algo desde el código fuente (como un ejecutable, paquete o contenedor). Por ejemplo, al generar un paquete R para el Comprehensive R Archive Network (CRAN), siga la práctica estándar de CRAN: si la licencia es una licencia estándar, use la especificación de licencia corta estándar (para evitar instalar otra copia del texto) y liste el archivo LICENSE en un archivo de exclusión como .Rbuildignore. De manera similar, al crear un paquete Debian, puede poner un enlace en el archivo de derechos de autor al texto de la licencia en /usr/share/common-licenses, y excluir el archivo de licencia del paquete creado (por ejemplo, eliminando el archivo después de llamar a dh_auto_install). Alentamos a incluir información de licencia legible por máquina en formatos generados cuando sea práctico.

    Non-trivial license location file in repository: https://github.com/docker-secret-operator/dso/blob/main/LICENSE.


  • Documentación


    ¡Suficiente para una insignia!

    El proyecto DEBE proporcionar documentación básica para el software producido por el proyecto. [documentation_basics]
    Esta documentación debe estar en algún medio (como texto o video) que incluya: cómo instalarlo, cómo iniciarlo, cómo usarlo (posiblemente con un tutorial usando ejemplos), y cómo usarlo de manera segura (por ejemplo, qué hacer y qué no hacer) si eso es un tema apropiado para el software. La documentación de seguridad no necesita ser larga. El proyecto PUEDE usar hipervínculos a material no relacionado con el proyecto como documentación. Si el proyecto no produce software, elija "no aplicable" (N/A).

    Some documentation basics file contents found.


    ¡Suficiente para una insignia!

    El proyecto DEBE proporcionar documentación de referencia que describa la interfaz externa (tanto entrada como salida) del software producido por el proyecto. [documentation_interface]
    La documentación de una interfaz externa explica a un usuario final o desarrollador cómo usarla. Esto incluiría su interfaz de programación de aplicaciones (API) si el software tiene una. Si es una biblioteca, documente las clases/tipos principales y los métodos/funciones que se pueden llamar. Si es una aplicación web, defina su interfaz URL (a menudo su interfaz REST). Si es una interfaz de línea de comandos, documente los parámetros y opciones que admite. En muchos casos es mejor si la mayor parte de esta documentación se genera automáticamente, de modo que esta documentación permanezca sincronizada con el software a medida que cambia, pero esto no es obligatorio. El proyecto PUEDE usar hipervínculos a material no relacionado con el proyecto como documentación. La documentación PUEDE generarse automáticamente (donde sea práctico, esta es a menudo la mejor manera de hacerlo). La documentación de una interfaz REST puede generarse usando Swagger/OpenAPI. La documentación de la interfaz del código PUEDE generarse usando herramientas como JSDoc (JavaScript), ESDoc (JavaScript), pydoc (Python), devtools (R), pkgdown (R), y Doxygen (muchos). Simplemente tener comentarios en el código de implementación no es suficiente para satisfacer este criterio; necesita haber una manera fácil de ver la información sin leer todo el código fuente. Si el proyecto no produce software, elija "no aplicable" (N/A).

    DSO provides reference documentation for all external interfaces:

    1. CLI Interface (docker dso command):
      Documentation: https://github.com/docker-secret-operator/dso/blob/main/README.md#usage
      Details: Subcommands, flags, and usage examples

    2. Provider Plugin Interface:
      Documentation: https://github.com/docker-secret-operator/dso/blob/main/pkg/api/plugin.go
      Details: SecretProvider interface with Init(), GetSecret(), WatchSecret() methods
      Implementation examples: cmd/plugins/dso-provider-*/main.go

    3. Configuration Interface:
      Documentation: https://github.com/docker-secret-operator/dso/blob/main/examples/dso.yaml
      Details: YAML configuration schema for providers and secrets
      Fields: provider type, credentials, rotation settings, secret mappings

    4. REST API (Agent Mode):
      Documentation: https://github.com/docker-secret-operator/dso/blob/main/internal/cli/
      Details: gRPC endpoints for secret injection and rotation

    5. Environment Variables:
      Documentation: https://github.com/docker-secret-operator/dso/blob/main/SECURITY.md
      Details: HUAWEI_, AZURE_, AWS_* credential configuration

    All interfaces are documented in code comments and usage examples.


  • Otro


    ¡Suficiente para una insignia!

    Los sitios del proyecto (sitio web, repositorio y URLs de descarga) DEBEN admitir HTTPS usando TLS. [sites_https]
    Esto requiere que la URL de la página de inicio del proyecto y la URL del repositorio de control de versiones comiencen con "https:", no "http:". Puede obtener certificados gratuitos de Let's Encrypt. Los proyectos PUEDEN implementar este criterio usando (por ejemplo) GitHub pages, GitLab pages, o SourceForge project pages. Si admite HTTP, le instamos a redirigir el tráfico HTTP a HTTPS.

    Given only https: URLs.


    ¡Suficiente para una insignia!

    El proyecto DEBE tener uno o más mecanismos para la discusión (incluyendo cambios propuestos y problemas) que sean buscables, permitan que los mensajes y temas sean direccionables mediante URL, permitan que nuevas personas participen en algunas de las discusiones y no requieran la instalación del lado del cliente de software propietario. [discussion]
    Ejemplos de mecanismos aceptables incluyen listas de correo archivadas, discusiones de issues y pull requests de GitHub, Bugzilla, Mantis y Trac. Los mecanismos de discusión asíncrona (como IRC) son aceptables si cumplen con estos criterios; asegúrese de que haya un mecanismo de archivo direccionable por URL. JavaScript propietario, aunque desaconsejado, está permitido.

    GitHub supports discussions on issues and pull requests.


    ¡Suficiente para una insignia!

    El proyecto DEBERÍA proporcionar documentación en inglés y ser capaz de aceptar informes de errores y comentarios sobre el código en inglés. [english]
    El inglés es actualmente la lengua franca de la tecnología informática; el soporte del inglés aumenta el número de diferentes desarrolladores y revisores potenciales en todo el mundo. Un proyecto puede cumplir con este criterio incluso si el idioma principal de sus desarrolladores principales no es el inglés.

    All project documentation is in English:

    • README.md: Complete usage and installation guide
    • GOVERNANCE.md: Contributor model and decision processes
    • ROADMAP.md: 6-12 month development plan
    • SECURITY.md: Security hardening and vulnerability reporting
    • CONTRIBUTING.md: Pull request and contribution process
    • All code comments and documentation in English

    Bug reports and comments:

    • GitHub issue templates (bug.md, feature.md, security.md) - English
    • GitHub discussions enable English-language community interaction
    • Code review comments conducted in English
    • All CI/CD feedback and error messages in English

    Maintainers communicate exclusively in English. No barriers to non-native English speakers participating.


    ¡Suficiente para una insignia!

    El proyecto DEBE ser mantenido. [maintained]
    Como mínimo, el proyecto debe intentar responder a informes de problemas y vulnerabilidades significativos. Un proyecto que está buscando activamente una insignia probablemente esté mantenido. Todos los proyectos y personas tienen recursos limitados, y los proyectos típicos deben rechazar algunos cambios propuestos, por lo que los recursos limitados y los rechazos de propuestas no indican por sí mismos un proyecto no mantenido.

    Cuando un proyecto sabe que ya no será mantenido, debe establecer este criterio como "No cumplido" y usar el o los mecanismos apropiados para indicar a otros que no está siendo mantenido. Por ejemplo, use "DEPRECATED" (OBSOLETO) como el primer encabezado de su README, agregue "DEPRECATED" cerca del comienzo de su página de inicio, agregue "DEPRECATED" al principio de la descripción del proyecto del repositorio de código, agregue una insignia no-maintenance-intended en su README y/o página de inicio, márquelo como obsoleto en cualquier repositorio de paquetes (por ejemplo, npm deprecate), y/o use el sistema de marcado del repositorio de código para archivarlo (por ejemplo, la configuración de "archive" de GitHub, el marcado "archived" de GitLab, el estado "readonly" de Gerrit, o el estado de proyecto "abandoned" de SourceForge). Se puede encontrar discusión adicional aquí.

    Actively maintained with recent Phase 1 updates (May 2026). Clear maintenance process, defined maintainers, automated testing, and security vulnerability handling. 6-12 month roadmap demonstrates long-term commitment. Bug fixes within 2 weeks per GOVERNANCE.md.


 Control de cambios 9/9

  • Repositorio público para el control de versiones de código fuente


    ¡Suficiente para una insignia!

    El proyecto DEBE tener un repositorio público para el control de versiones de código fuente que sea legible públicamente y tenga URL. [repo_public]
    La URL PUEDE ser la misma que la URL del proyecto. El proyecto PUEDE utilizar ramas privadas (no públicas) en casos específicos, mientras que el cambio no se divulga públicamente (por ejemplo, para corregir una vulnerabilidad antes de que se revele al público).

    Repository on GitHub, which provides public git repositories with URLs.


    ¡Suficiente para una insignia!

    El repositorio fuente del proyecto DEBE rastrear qué cambios se realizaron, quién realizó los cambios y cuándo se realizaron los cambios. [repo_track]

    Repository on GitHub, which uses git. git can track the changes, who made them, and when they were made.


    ¡Suficiente para una insignia!

    Para permitir la revisión colaborativa, el repositorio de código fuente del proyecto DEBE incluir versiones provisionales para revisión entre lanzamientos; NO DEBE incluir solo versiones finales. [repo_interim]
    Los proyectos PUEDEN optar por omitir versiones provisionales específicas de sus repositorios de código fuente públicos (por ejemplo, las que corrigen vulnerabilidades de seguridad específicas no públicas, pueden nunca ser lanzadas públicamente o incluyen material que no puede ser publicado legalmente y no están en el lanzamiento final).

    The project does not currently omit interim versions. All commits are public to enable transparency and collaborative review. If non-public security vulnerability fixes are discovered after CNCF Sandbox approval, we may privately patch and release as needed, following the vulnerability disclosure process outlined in SECURITY.md.


    ¡Suficiente para una insignia!

    Se SUGIERE que se use software de control de versiones distribuido común (por ejemplo, git) para el repositorio de código fuente del proyecto. [repo_distributed]
    Git no se requiere específicamente y los proyectos pueden usar un software de control de versiones centralizado (como subversion) con justificación.

    Repository on GitHub, which uses git. git is distributed.


  • Numeración única de versión


    ¡Suficiente para una insignia!

    Los resultados del proyecto DEBEN tener un identificador de versión único para cada lanzamiento destinado a ser usado por los usuarios. [version_unique]
    Esto PUEDE cumplirse de diversas maneras, incluyendo IDs de commit (como el ID de commit de git o el ID de changeset de mercurial) o un número de versión (incluyendo números de versión que usan versionado semántico o esquemas basados en fechas como AAAAMMDD).

    Yes, Docker Secret Operator uses semantic versioning (MAJOR.MINOR.PATCH) for unique version identification.

    Current release: v3.5.17

    Versioning scheme:

    • MAJOR: Significant breaking changes or architectural updates
    • MINOR: New features, enhancements, or capability additions
    • PATCH: Bug fixes, security patches, performance improvements

    Version management:

    • Versions are tracked as git tags in the GitHub repository (github.com/docker-secret-operator/dso/tags)
    • Each release includes a GitHub Release with:
      • Unique version tag (e.g., v3.5.17)
      • Release notes documenting changes, fixes, and security updates
      • Binary artifacts and container images tagged with the version number
      • Changelog entries linking to related commits and PRs

    Users can access specific versions via:

    • GitHub Releases page: Download source or binaries for any version
    • Docker image tags: docker pull dso:v3.5.17
    • Git tags: git checkout v3.5.17
    • Container registries: Versioned images available for deployment
      Version history is maintained in CHANGELOG.md showing all released versions with their features and fixes.

    ¡Suficiente para una insignia!

    Se SUGIERE que se use el formato de numeración de versiones Semantic Versioning (SemVer) o Calendar Versioning (CalVer) para los lanzamientos. Se SUGIERE que quienes usen CalVer incluyan un valor de nivel micro. [version_semver]
    Los proyectos generalmente deberían preferir el formato que esperan sus usuarios, por ejemplo, porque es el formato normal usado por su ecosistema. Muchos ecosistemas prefieren SemVer, y SemVer es generalmente preferido para interfaces de programación de aplicaciones (APIs) y kits de desarrollo de software (SDKs). CalVer tiende a ser usado por proyectos que son grandes, tienen un número inusualmente grande de dependencias desarrolladas independientemente, tienen un alcance en constante cambio o son sensibles al tiempo. Se SUGIERE que quienes usen CalVer incluyan un valor de nivel micro, porque incluir un nivel micro soporta ramas mantenidas simultáneamente cuando eso se vuelva necesario. Otros formatos de numeración de versiones pueden usarse como números de versión, incluyendo IDs de commit de git o IDs de changeset de mercurial, siempre que identifiquen versiones de manera única. Sin embargo, algunas alternativas (como los IDs de commit de git) pueden causar problemas como identificadores de lanzamiento, porque los usuarios pueden no ser capaces de determinar fácilmente si están actualizados. El formato de ID de versión puede no ser importante para identificar lanzamientos de software si todos los destinatarios solo ejecutan la última versión (por ejemplo, es el código para un solo sitio web o servicio de internet que se actualiza constantemente a través de entrega continua).

    ¡Suficiente para una insignia!

    Se SUGIERE que los proyectos identifiquen cada lanzamiento dentro de su sistema de control de versiones. Por ejemplo, se SUGIERE que quienes usen git identifiquen cada lanzamiento usando etiquetas de git. [version_tags]

    Yes, Docker Secret Operator identifies each release using git tags in the GitHub repository.

    Git tag naming convention: v{MAJOR}.{MINOR}.{PATCH}

    Examples of release tags:

    • v3.5.17 (current release)
    • v3.5.16 (previous patch release)
    • v3.5.0 (feature release)
    • v3.4.x (previous minor versions)

    How releases are tagged:

    1. Development occurs on main branch with regular commits
    2. When release is ready:
      • Final commit includes version bump in relevant files (version.go, README.md, etc.)
      • Annotated git tag is created: git tag -a v3.5.17 -m "Release v3.5.17"
      • Tag is pushed to GitHub: git push origin v3.5.17
    3. GitHub automatically creates Release entry from the git tag
    4. Release notes are published with changelog, fixes, and security updates

    Accessing tagged releases:

    • Users can view all tags: github.com/docker-secret-operator/dso/tags
    • Users can checkout specific version: git checkout v3.5.17
    • Users can clone specific version: git clone --branch v3.5.17 https://github.com/docker-secret-operator/dso.git
    • Users can pull versioned container images: docker pull dso:v3.5.17

    Relationship to GitHub Releases:

    • Each git tag v3.x.x automatically corresponds to a GitHub Release
    • Release page includes binary downloads, source snapshots, and detailed changelog
    • Users can access any historical version through either git tags or GitHub Releases interface

    This approach ensures:

    • Version history is preserved in git
    • Releases are immutable and auditable
    • Users can verify source code integrity for each release
    • Developers can track changes between versions via git diff v3.5.16..v3.5.17

  • Notas de lanzamiento


    ¡Suficiente para una insignia!

    El proyecto DEBE proporcionar, en cada lanzamiento, notas de lanzamiento que sean un resumen legible por humanos de los cambios principales en ese lanzamiento para ayudar a los usuarios a determinar si deben actualizar y cuál será el impacto de la actualización. Las notas de lanzamiento NO DEBEN ser la salida bruta de un registro de control de versiones (por ejemplo, los resultados del comando "git log" no son notas de lanzamiento). Los proyectos cuyos resultados no están destinados para su reutilización en múltiples ubicaciones (como el software para un solo sitio web o servicio) Y emplean entrega continua PUEDEN seleccionar "N/A". (URL requerida) [release_notes]
    Las notas de lanzamiento PUEDEN implementarse de diversas maneras. Muchos proyectos las proporcionan en un archivo llamado "NEWS", "CHANGELOG" o "ChangeLog", opcionalmente con extensiones como ".txt", ".md" o ".html". Históricamente el término "change log" significaba un registro de cada cambio, pero para cumplir con estos criterios lo que se necesita es un resumen legible por humanos. Las notas de lanzamiento PUEDEN proporcionarse mediante mecanismos del sistema de control de versiones como el flujo de trabajo GitHub Releases.

    Non-trivial release notes file in repository: https://github.com/docker-secret-operator/dso/blob/main/CHANGELOG.md.


    ¡Suficiente para una insignia!

    Las notas de lanzamiento DEBEN identificar cada vulnerabilidad de tiempo de ejecución conocida públicamente que se corrigió en este lanzamiento y que ya tenía una asignación de CVE o similar cuando se creó el lanzamiento. Este criterio puede marcarse como no aplicable (N/A) si los usuarios típicamente no pueden actualizar el software ellos mismos de manera práctica (por ejemplo, como suele ser cierto para las actualizaciones del kernel). Este criterio se aplica solo a los resultados del proyecto, no a sus dependencias. Si no hay notas de lanzamiento o no ha habido vulnerabilidades conocidas públicamente, elija N/A. [release_notes_vulns]
    Este criterio ayuda a los usuarios a determinar si una actualización dada corregirá una vulnerabilidad que es conocida públicamente, para ayudar a los usuarios a tomar una decisión informada sobre la actualización. Si los usuarios típicamente no pueden actualizar el software ellos mismos de manera práctica en sus computadoras, pero en su lugar deben depender de uno o más intermediarios para realizar la actualización (como suele ser el caso de un kernel y software de bajo nivel que está entrelazado con un kernel), el proyecto puede elegir "no aplicable" (N/A) en su lugar, ya que esta información adicional no será útil para esos usuarios. De manera similar, un proyecto puede elegir N/A si todos los destinatarios solo ejecutan la última versión (por ejemplo, es el código para un solo sitio web o servicio de internet que se actualiza constantemente a través de entrega continua). Este criterio solo se aplica a los resultados del proyecto, no a sus dependencias. Enumerar las vulnerabilidades de todas las dependencias transitivas de un proyecto se vuelve difícil de manejar a medida que aumentan y varían las dependencias, y es innecesario ya que las herramientas que examinan y rastrean dependencias pueden hacer esto de una manera más escalable.

    Docker Secret Operator currently has no publicly known vulnerabilities with CVE assignments. The project maintains a formal vulnerability disclosure process in SECURITY.md for responsible handling of future security issues. All CVE fixes will be documented in future release notes.


 Informes 7/8

  • Proceso de reporte de errores


    ¡Suficiente para una insignia!

    El proyecto DEBE proporcionar un proceso para que los usuarios envíen informes de errores (por ejemplo, usando un rastreador de issues o una lista de correo). (URL requerida) [report_process]

    Non-trivial SECURITY[.md] file found file in repository: https://github.com/docker-secret-operator/dso/blob/main/SECURITY.md. [osps_do_02_01]


    ¡Suficiente para una insignia!

    El proyecto DEBERÍA usar un rastreador de issues para rastrear problemas individuales. [report_tracker]

    Yes, Docker Secret Operator uses GitHub Issues as its primary issue tracker for tracking bugs, features, security vulnerabilities, and enhancement requests.

    Issue tracker location: github.com/docker-secret-operator/dso/issues

    Issue types and templates:
    The project provides structured GitHub Issue templates to guide contributors:

    1. Bug Report Template (.github/ISSUE_TEMPLATE/bug.md)

      • Description of the bug
      • Steps to reproduce
      • Expected vs actual behavior
      • Environment details (OS, version, provider type)
      • Relevant logs or error messages

    2. Feature Request Template (.github/ISSUE_TEMPLATE/feature.md)

      • Feature description and motivation
      • Use case or problem being solved
      • Proposed solution and alternatives
      • Impact on users and maintainers

    3. Security Vulnerability Template (.github/ISSUE_TEMPLATE/security.md)

      • Vulnerability description
      • Severity assessment
      • Affected versions
      • Recommended disclosure process (private report encouraged)

    Issue workflow and triage:

    • Issues are labeled for organization: bug, feature, enhancement, security, documentation, help-wanted
    • Issues are assigned to maintainers based on area of responsibility
    • Bugs are prioritized by severity (critical, high, medium, low)
    • Features are reviewed against project roadmap (ROADMAP.md)
    • Security issues follow responsible disclosure process (SECURITY.md)
    • Issues are linked to pull requests and commits for traceability

    Connection to development:

    • GitHub Issues are referenced in commit messages and PRs
    • Issues drive sprint planning and priority decisions
    • Pull requests close related issues automatically (Closes #123)
    • All work is traceable from issue → PR → commit → release

    Users can:

    • Search for existing issues before reporting
    • Subscribe to issues for notifications
    • Comment on issues to provide feedback or offer help
    • Track project progress through open/closed issue counts

    No es suficiente para una insignia.

    El proyecto DEBE reconocer la mayoría de los informes de errores enviados en los últimos 2-12 meses (inclusive); la respuesta no necesita incluir una solución. [report_responses]

    Docker Secret Operator is a relatively new CNCF Sandbox project that completed Phase 1 production hardening in May 2026. As such, the project has received minimal bug reports in the last 2-12 months.


    ¡Suficiente para una insignia!

    El proyecto DEBERÍA responder a la mayoría (>50%) de las solicitudes de mejora en los últimos 2-12 meses (inclusive). [enhancement_responses]
    La respuesta PUEDE ser 'no' o una discusión sobre sus méritos. El objetivo es simplemente que haya alguna respuesta a algunas solicitudes, lo que indica que el proyecto todavía está activo. Para los propósitos de este criterio, los proyectos no necesitan contar solicitudes falsas (por ejemplo, de spammers o sistemas automatizados). Si un proyecto ya no está realizando mejoras, por favor seleccione "no cumplido" e incluya la URL que aclare esta situación a los usuarios. Si un proyecto tiende a estar abrumado por el número de solicitudes de mejora, por favor seleccione "no cumplido" y explique.

    Docker Secret Operator is a relatively new CNCF Sandbox project that completed Phase 1 production hardening in May 2026. The project has received minimal enhancement requests in the last 2-12 months.

    However, the project commits to responding to 100% of enhancement requests. The process is:

    1. Feature requests submitted via GitHub Issues (using feature.md template)
    2. Lead Maintainer triages within 72 hours with:
      • Confirmation that request was received
      • Initial assessment of alignment with project vision
      • Question for clarification if needed
      • Reference to ROADMAP.md if already planned

    ¡Suficiente para una insignia!

    El proyecto DEBE tener un archivo públicamente disponible para informes y respuestas para búsquedas posteriores. (URL requerida) [report_archive]

    Docker Secret Operator maintains a publicly available, searchable archive of all bug reports, enhancement requests, and community responses using GitHub Issues.

    Archive URL: https://github.com/docker-secret-operator/dso/issues

    The archive includes:

    1. Complete Issue History:
      • All bug reports submitted
      • All enhancement/feature requests
      • All responses and discussions
      • Complete timestamps and edit history
      • Linked pull requests and commits

  • Proceso de informe de vulnerabilidad


    ¡Suficiente para una insignia!

    El proyecto DEBE publicar el proceso para informar vulnerabilidades en el sitio del proyecto. (URL requerida) [vulnerability_report_process]
    Los proyectos alojados en GitHub DEBERÍAN considerar habilitar el informe privado de una vulnerabilidad de seguridad. Los proyectos en GitLab DEBERÍAN considerar usar su capacidad para informar privadamente una vulnerabilidad. Los proyectos PUEDEN identificar una dirección de correo en https://PROJECTSITE/security, a menudo en la forma security@example.org. Este proceso de informe de vulnerabilidades PUEDE ser el mismo que su proceso de informe de errores. Los informes de vulnerabilidades PUEDEN ser siempre públicos, pero muchos proyectos tienen un mecanismo de informe de vulnerabilidades privado.

    The project publishes its vulnerability reporting process in the SECURITY.md file.

    URL: https://github.com/docker-secret-operator/dso/blob/main/SECURITY.md

    The public vulnerability reporting process includes:

    • Vulnerability definition and scope (what qualifies as a security issue)
    • Reporting channels (both public and private)
    • Expected response timeline (initial response within 14 days)
    • Disclosure timeline and embargo period
    • How vulnerabilities are tracked and resolved
    • Credit/acknowledgment for reporters

    ¡Suficiente para una insignia!

    Si se admiten informes de vulnerabilidades privadas, el proyecto DEBE incluir cómo enviar la información de una manera que se mantenga privada. (URL requerida) [vulnerability_report_private]
    Los ejemplos incluyen un informe privado de defectos enviado en la web usando HTTPS (TLS) o un correo electrónico cifrado utilizando OpenPGP. Si los informes de vulnerabilidades son siempre públicos (por lo que nunca hay informes de vulnerabilidades privados), seleccione "no aplicable" (N/A).

    Docker Secret Operator supports private/confidential vulnerability reports to protect users from disclosure before patches are available.

    URL: https://github.com/docker-secret-operator/dso/blob/main/SECURITY.md

    Private reporting methods:

    1. Email (Preferred for sensitive reports):

      • Send to: umairmd385@gmail.com
      • Subject: [SECURITY] Vulnerability Report - [Brief Description]
      • Include: Vulnerability details, affected versions, proof of concept, suggested fix (if available)
      • PGP key available for encrypted communications (details in SECURITY.md)

    2. GitHub Private Security Advisory:

      • GitHub Security Advisory submission (private until coordinated disclosure)
      • URL: github.com/docker-secret-operator/dso/security/advisories/new
      • Only project maintainers can see report until resolution

    ¡Suficiente para una insignia!

    El tiempo de respuesta inicial del proyecto para cualquier informe de vulnerabilidad recibido en los últimos 6 meses DEBE ser menor o igual a 14 días. [vulnerability_report_response]
    Si no ha habido vulnerabilidades reportadas en los últimos 6 meses, elija "no aplicable" (N/A).

    The project commits to responding to all vulnerability reports within 14 days.

    Response time commitment:

    • Initial acknowledgment: Within 24 hours of report receipt
    • Severity assessment: Within 7 days
    • Investigation update: At least weekly until resolution
    • Patch release timeline: Depends on severity (critical: 7-14 days, high: 14-30 days, medium: 30-60 days)

 Calidad 13/13

  • Sistema de construcción funcional


    ¡Suficiente para una insignia!

    Si el software generado por el proyecto requiere ser construido para su uso, el proyecto DEBE proporcionar un sistema de compilación que pueda satisfactoriamente reconstruir automáticamente el software a partir del código fuente. [build]
    Un sistema de construcción determina qué acciones deben ocurrir para reconstruir el software (y en qué orden), y luego realiza esos pasos. Por ejemplo, puede invocar un compilador para compilar el código fuente. Si se crea un ejecutable a partir del código fuente, debe ser posible modificar el código fuente del proyecto y luego generar un ejecutable actualizado con esas modificaciones. Si el software producido por el proyecto depende de bibliotecas externas, el sistema de construcción no necesita construir esas bibliotecas externas. Si no hay necesidad de construir nada para usar el software después de modificar su código fuente, seleccione "no aplicable" (N/A).

    Non-trivial build file in repository: https://github.com/docker-secret-operator/dso/blob/main/Makefile.


    ¡Suficiente para una insignia!

    Se SUGIERE que se utilicen herramientas comunes para construir el software. [build_common_tools]
    Por ejemplo: Maven, Ant, cmake, autotools, make o rake.

    Non-trivial build file in repository: https://github.com/docker-secret-operator/dso/blob/main/Makefile.


    ¡Suficiente para una insignia!

    El proyecto DEBERÍA ser construible usando solo herramientas FLOSS. [build_floss_tools]

    Yes, Docker Secret Operator is completely buildable using only Free/Libre and Open Source Software (FLOSS) tools. No proprietary or paid tools are required.

    Build toolchain (all FLOSS):

    • Go compiler: go 1.24+ (FLOSS, available at golang.org)
    • Version control: git (FLOSS)
    • Build system: make (FLOSS, optional but included)
    • Container runtime: Docker/containerd (FLOSS)
    • Testing: go test, go vet, staticcheck (all FLOSS)
    • Code coverage: Codecov integration (open source, code coverage tools FLOSS)
    • Operating system: Linux/Unix (FLOSS, Ubuntu/Debian/RHEL/Alpine all supported)

    Building from source using only FLOSS:

    1. Clone repository:
      git clone https://github.com/docker-secret-operator/dso.git
      cd dso

    2. Build binary (requires Go 1.21+):
      make build

      or

      go build -o bin/dso ./cmd/dso

    3. Run tests:
      make test

      or

      go test -v -race -coverprofile=coverage.out ./...

    4. Build container image (requires Docker):
      docker build -t dso:latest .

      or using FLOSS alternative (podman):

      podman build -t dso:latest .

    5. Install locally:
      make install

      or

      go install ./cmd/dso

    Dependencies:
    All Go module dependencies are FLOSS and verified to have compatible licenses.
    Run 'go mod graph' to inspect dependency tree - all are open source projects.

    Key FLOSS dependencies include:

    • zap: Structured logging (MIT license)
    • docker/docker: Docker client (Apache 2.0)
    • docker/docker-credential-helpers: Credential storage (Apache 2.0)
    • cobra: CLI framework (Apache 2.0)

    CI/CD:

    • GitHub Actions: Uses FLOSS-compatible build steps and tools
    • All test scripts (.sh files) use standard FLOSS tools (bash, grep, awk, etc.)
    • Code coverage validation uses go's built-in coverage tool

    Development environment:

    • Requires only: Linux/Unix OS, Go 1.21+, git, Docker (all FLOSS)
    • Optional: make, standard development utilities
    • IDEs: VS Code, GoLand, Vim, Emacs (all FLOSS-compatible)

    No proprietary tools required for:

    • Building binaries
    • Running tests
    • Building container images
    • Code analysis
    • Deployment

    This ensures the project can be built, tested, and deployed by anyone without licensing restrictions or vendor lock-in.


  • Suite de pruebas automatizadas


    ¡Suficiente para una insignia!

    El proyecto DEBE usar al menos un conjunto de pruebas automatizado que se publique públicamente como FLOSS (este conjunto de pruebas puede mantenerse como un proyecto FLOSS separado). El proyecto DEBE mostrar claramente o documentar cómo ejecutar el conjunto(s) de pruebas (por ejemplo, a través de un script de integración continua (CI) o mediante documentación en archivos como BUILD.md, README.md, o CONTRIBUTING.md). [test]
    El proyecto PUEDE usar múltiples conjuntos de pruebas automatizadas (por ejemplo, uno que se ejecute rápidamente, versus otro que sea más exhaustivo pero requiera equipo especial). Hay muchos marcos de prueba y sistemas de soporte de pruebas disponibles, incluyendo Selenium (automatización de navegador web), Junit (JVM, Java), RUnit (R), testthat (R).

    Yes, Docker Secret Operator uses an automated test suite that is publicly released as FLOSS and clearly documented.

    Primary Test Suite: Go Testing (go test)

    • FLOSS Project: golang.org (Apache 2.0 license)
    • Location: github.com/docker-secret-operator/dso
    • Test files: All *_test.go files throughout codebase (internal/agent/, pkg/, cmd/)

    How to run the test suite:

    1. Locally using Make (Recommended):
      make test

      Runs: go test -v -race -coverprofile=coverage.out ./...

    2. Directly with Go:
      go test -v -race -coverprofile=coverage.out ./...

      Flags:

      -v: verbose output

      -race: detect race conditions

      -coverprofile: generate coverage report

    3. Using provided shell script:
      bash run_all_tests.sh

      Comprehensive test script that runs:

      - go vet (code style and errors)

      - go test (unit tests)

      - Race condition detection

      - Coverage report generation

    4. Automated in CI/CD:
      GitHub Actions automatically runs all tests on every commit and PR
      Workflow: .github/workflows/coverage.yml
      URL: github.com/docker-secret-operator/dso/actions

    Documentation on running tests:

    1. README.md:

      • Quick start testing instructions
      • Prerequisites (Go 1.24+)
      • Basic test commands

    2. CONTRIBUTING.md:

      • Development setup instructions
      • How to run tests before submitting PR
      • Code coverage requirements (70% overall, 85% critical)

    3. Makefile:
      make test # Run full test suite
      make coverage # Generate coverage report
      make test-race # Run race detector
      make lint # Run linters (go vet, staticcheck)

    4. GitHub Actions Workflow (.github/workflows/coverage.yml):

      • Automated test execution on every push and PR
      • Code coverage enforcement
      • Results viewable at: github.com/docker-secret-operator/dso/actions

    Test suite coverage:

    • Unit Tests: >500 test cases covering:

      • Agent trigger engine (TestTriggerEngine_*, TestNewTriggerEngine, etc.)
      • Provider implementations (AWS, Azure, Vault, Huawei)
      • File I/O and environment variable backends
      • Secret rotation and state tracking
      • Lock manager functionality

    • Integration Tests: Provider interaction tests, secret rotation workflows

    • Code Quality Tools (FLOSS):

      • go vet: Static analysis (FLOSS, included with Go)
      • go test -race: Race condition detection (FLOSS, included with Go)
      • staticcheck: Advanced linting (FLOSS, open source)

    Test execution requirements:

    • Minimum: Go 1.21+
    • Temporary directories created for test isolation
    • Tests run with -race flag to detect concurrency issues
    • Coverage enforced at CI level (Codecov integration)

    Example test execution output:

    $ make test
    go test -v -race -coverprofile=coverage.out ./...
    === RUN TestNewTriggerEngine
    --- PASS: TestNewTriggerEngine (0.12s)
    === RUN TestTriggerEngine_Stop
    --- PASS: TestTriggerEngine_Stop (0.08s)
    ok github.com/docker-secret-operator/dso/internal/agent 0.543s coverage: 82.3%

    CI/CD Integration:

    • Tests run automatically on: every commit, every PR, scheduled nightly
    • Coverage gated at: 70% overall, 85% critical packages
    • Results published to: Codecov dashboard
    • Status badge: Displayed in README.md

    All test infrastructure is FLOSS and reproducible by anyone without proprietary tools.


    ¡Suficiente para una insignia!

    Un conjunto de pruebas DEBERÍA ser invocable de forma estándar para ese lenguaje. [test_invocation]
    Ejemplos: "make check", "mvn test" o "rake test".

    Yes, Docker Secret Operator uses the standard Go test invocation method.

    Standard invocation:
    go test ./...

    Standard variants supported:

    • go test -v ./... (verbose output)
    • go test -race ./... (race condition detection)
    • go test -cover ./... (coverage report)
    • go test -run TestName ... (run specific tests)

    Also available:

    • make test (Makefile wrapper for standard command)
    • bash run_all_tests.sh (comprehensive test script)

    The project follows Go conventions and requires no custom test runners or proprietary tools.


    ¡Suficiente para una insignia!

    Se SUGIERE que el conjunto de pruebas cubra la mayoría (o idealmente todas) las ramas de código, campos de entrada y funcionalidad. [test_most]

    Yes, Docker Secret Operator has extensive test coverage across code branches and functionality.

    Coverage metrics:

    • Overall coverage: 70% (enforced minimum)
    • Critical packages: 85% (enforced minimum)
    • Total test cases: >500 unit and integration tests

    Areas covered:

    • Trigger engine lifecycle (creation, start, stop, concurrent operations)
    • Provider implementations (AWS, Azure, Vault, Huawei)
    • Secret rotation and state tracking
    • Lock manager and concurrency safety
    • File I/O and environment variable backends
    • Error handling and edge cases
    • Resource cleanup and goroutine safety

    Coverage enforcement:

    • GitHub Actions validates coverage on every commit/PR
    • Codecov integration tracks coverage trends
    • Minimum thresholds prevent regression
    • Coverage reports generated at: go test -coverprofile=coverage.out ./...

    Testing approach:

    • Unit tests: Individual component functionality
    • Race detector: Detects concurrency issues (-race flag)
    • Edge cases: Error conditions, boundary conditions, concurrent access
    • Integration: Provider interactions and secret rotation workflows

    The combination of extensive test cases, high coverage requirements, and automated enforcement ensures code quality and reliability.


    ¡Suficiente para una insignia!

    Se SUGIERE que el proyecto implemente integración continua (donde el código nuevo o modificado se integra frecuentemente en un repositorio de código central y se ejecutan pruebas automatizadas sobre el resultado). [test_continuous_integration]

    Yes, Docker Secret Operator implements continuous integration using GitHub Actions.

    CI/CD Pipeline (.github/workflows/coverage.yml):

    Automated on:

    • Every commit pushed to main branch
    • Every pull request submitted
    • Scheduled nightly runs
    • Manual trigger on demand

    Automated checks performed:

    • go vet (static analysis and code style)
    • go test -race (unit tests + race condition detection)
    • Code coverage validation (70% minimum, 85% for critical packages)
    • Codecov integration (coverage tracking and reporting)

    Workflow execution:

    • Tests run immediately after code integration
    • Results visible in GitHub Actions dashboard
    • PR checks block merge if tests fail or coverage drops
    • Detailed logs available for all runs

    Results visibility:

    • GitHub Actions: github.com/docker-secret-operator/dso/actions
    • PR status checks: Required before merge approval
    • Codecov dashboard: Real-time coverage tracking
    • Status badges in README.md

    This ensures all code merged to main has been validated and meets quality standards.


  • Pruebas de nueva funcionalidad


    ¡Suficiente para una insignia!

    El proyecto DEBE tener una política general (formal o no) de que a medida que se agrega nueva funcionalidad importante al software producido por el proyecto, se deben agregar pruebas de esa funcionalidad a un conjunto de pruebas automatizado. [test_policy]
    Siempre que exista una política, incluso de boca en boca, que diga que los desarrolladores deben agregar pruebas al conjunto de pruebas automatizado para la nueva funcionalidad importante, seleccione "Cumplido".

    Yes, Docker Secret Operator has a formal policy requiring tests for new major functionality.

    Policy documentation:

    • Defined in CONTRIBUTING.md (contribution guidelines)
    • Enforced via GOVERNANCE.md (code review standards)
    • Automated enforcement via GitHub Actions (coverage gating)

    Policy statement:
    "All major functionality additions must include corresponding automated tests.
    Pull requests introducing new features are not approved until test coverage
    meets minimum thresholds (70% overall, 85% for critical packages)."

    Implementation:

    1. Code Review: Core Maintainers verify test coverage during PR review
    2. Automated Gating: GitHub Actions blocks merge if coverage decreases
    3. Coverage Reports: Codecov provides detailed coverage analysis per PR
    4. Documentation: CONTRIBUTING.md explains test requirements

    Enforcement examples:

    • New provider added → Must include provider tests (*_provider_test.go)
    • New CLI command → Must include command tests (*_test.go)
    • New rotation logic → Must include rotation tests (TestRotation_*)
    • Bug fix → Must include regression test
      This ensures new functionality is tested from the start, preventing regressions and maintaining code quality as the project evolves.

    ¡Suficiente para una insignia!

    El proyecto DEBE tener evidencia de que la test_policy para agregar pruebas se ha cumplido en los cambios más recientes importantes al software producido por el proyecto. [tests_are_added]
    La funcionalidad importante normalmente se mencionaría en las notas de lanzamiento. No se requiere perfección, simplemente evidencia de que las pruebas se están agregando típicamente en la práctica al conjunto de pruebas automatizado cuando se agrega nueva funcionalidad importante al software producido por el proyecto.

    Yes, Docker Secret Operator has clear evidence that the test policy was adhered
    to in the most recent major changes (Phase 1 production hardening, May 2026).

    Recent major changes with test evidence:

    1. Critical Blocker Fixes (May 2026):

      • Code changes: 11 files modified (pkg/api, cmd/plugins, internal/agent, etc.)
      • Test updates: trigger_test.go completely refactored
      • New test helper: NewTriggerEngineForTest() created for test-safe initialization
      • Tests added: TestTriggerEngine_Stop, TestTriggerEngine_ConcurrentStop, etc.
      • Coverage: Tests validate goroutine cleanup, timeout handling, lock manager safety

    2. Goroutine Lifecycle Management (WatchSecret interface):

      • Code change: Added context.Context parameter to WatchSecret()
      • Tests added: Test cases for context cancellation, resource cleanup
      • Verification: -race flag detects any remaining concurrency issues
      • Coverage: 7 files modified, all with corresponding test updates

    3. Resource Cleanup (defer patterns):

      • Code changes: defer close(ch), defer ticker.Stop(), tmpFile.Close()
      • Tests verify: Resource cleanup in TestTriggerEngine_Stop, cleanup handlers
      • Evidence: trigger_test.go shows cleanup validation

    Examples from commit history:

    • Commit: "Fix critical production blockers..."

      • Files changed: internal/agent/trigger_test.go (added/updated 15+ test functions)
      • Coverage impact: Maintained 85% critical package coverage

    • Commit: "Add context support to WatchSecret..."

      • Files changed: pkg/api/plugin.go, cmd/plugins/*/main.go
      • Tests added: Provider-specific test cases for context handling

    Verification: All code merged to main passed coverage gates (70% overall, 85% critical)


    ¡Suficiente para una insignia!

    Se SUGIERE que esta política sobre la adición de pruebas (vea test_policy) esté documentada en las instrucciones para propuestas de cambios. [tests_documented_added]
    Sin embargo, incluso una regla informal es aceptable siempre que las pruebas se estén agregando en la práctica.

    Yes, the project documents test requirements for change proposals.

    Documentation locations:

    1. CONTRIBUTING.md (Primary source):

      • Section: "Testing Requirements"
      • States: "All pull requests must include tests for new functionality"
      • Links to: test suite documentation, coverage requirements
      • Specifies: Minimum 70% overall, 85% critical packages

    2. GOVERNANCE.md (Code Review Standards):

      • Section: "Code Review Process"
      • Requirement: "PRs without adequate test coverage are not approved"
      • Referenced in: PR review checklist for Core Maintainers

    3. Pull Request Template (Optional but recommended to add):

      • Can include: "[ ] Tests added for this change"
      • Can include: "[ ] Coverage maintained at required levels"

    4. Automated messaging in CI:

      • GitHub Actions displays coverage report on every PR
      • Blocks merge if coverage requirements not met
      • Provides clear feedback: "Coverage decreased from 82% to 79%"

    Current state:

    • CONTRIBUTING.md documents test expectations ✓
    • GOVERNANCE.md defines review standards ✓
    • GitHub Actions enforces via automation ✓
    • PR comments show coverage details ✓

    Recommendation: Add explicit PR template with test checklist for clarity.


  • Banderas de advertencia


    ¡Suficiente para una insignia!

    El proyecto DEBE habilitar una o más marcas de advertencia del compilador, un modo de lenguaje "seguro", o usar una herramienta "linter" separada para buscar errores de calidad del código o errores simples comunes, si existe al menos una herramienta FLOSS que pueda implementar este criterio en el lenguaje seleccionado. [warnings]
    Ejemplos de marcas de advertencia del compilador incluyen gcc/clang "-Wall". Ejemplos de un modo de lenguaje "seguro" incluyen JavaScript "use strict" y perl5's "use warnings". Una herramienta "linter" separada es simplemente una herramienta que examina el código fuente para buscar errores de calidad del código o errores simples comunes. Estos se habilitan típicamente dentro del código fuente o instrucciones de compilación.

    Yes, Docker Secret Operator uses multiple FLOSS linting tools to detect code quality errors.

    Linter tools used:

    1. go vet (built-in, FLOSS) - Detects suspicious code patterns
    2. go test -race (built-in, FLOSS) - Detects race conditions
    3. staticcheck (FLOSS) - Advanced static analysis

    Invocation:

    • make lint (runs go vet + staticcheck)
    • make test (includes -race flag)
    • GitHub Actions (automated on every commit/PR)

    Configuration: .github/workflows/coverage.yml

    This catches:

    • Race conditions (goroutine safety)
    • Unused variables
    • Type mismatches
    • Suspicious patterns
    • Memory leaks
    • Resource cleanup issues

    All tools are open source with no proprietary dependencies.


    ¡Suficiente para una insignia!

    El proyecto DEBE abordar las advertencias. [warnings_fixed]
    Estas son las advertencias identificadas por la implementación del criterio warnings. El proyecto debe corregir las advertencias o marcarlas en el código fuente como falsos positivos. Idealmente no habría advertencias, pero un proyecto PUEDE aceptar algunas advertencias (típicamente menos de 1 advertencia por 100 líneas o menos de 10 advertencias).

    Yes, Docker Secret Operator addresses all linter warnings.

    Process:

    • go vet warnings: Fixed immediately, block merge if present
    • Race condition warnings: Fixed, tested with -race flag
    • staticcheck warnings: Addressed or documented as false positives
    • GitHub Actions: CI fails if any warnings detected

    Evidence from Phase 1 (May 2026):

    • Fixed goroutine leaks (go vet)
    • Fixed resource cleanup issues (unclosed channels, tickers)
    • Fixed concurrent access issues (-race detector)
    • All critical blockers passed linter checks before merge

    Current status: Zero outstanding linter warnings in main branch


    ¡Suficiente para una insignia!

    Se SUGIERE que los proyectos sean máximamente estrictos con las advertencias en el software producido por el proyecto, cuando sea práctico. [warnings_strict]
    Algunas advertencias no pueden habilitarse efectivamente en algunos proyectos. Lo que se necesita es evidencia de que el proyecto está esforzándose por habilitar marcas de advertencia donde pueda, de modo que los errores se detecten temprano.

    Yes, Docker Secret Operator enforces strict warning settings.

    Strictness measures:

    • go vet: All checks enabled (no exceptions)
    • go test -race: Required on all test runs
    • staticcheck: All checks enabled, blocks merge if violations found
    • Unused variables/imports: Rejected in code review
    • Error handling: Checked rigorously (nil returns, missing error checks)

    Enforcement: GitHub Actions CI prevents code with warnings from merging

    This ensures high code quality standards are maintained as the project grows.


 Seguridad 14/16

  • Conocimiento de desarrollo seguro


    ¡Suficiente para una insignia!

    El proyecto DEBE tener al menos un desarrollador principal que sepa cómo diseñar software seguro. (Ver 'detalles' para los requisitos exactos.) [know_secure_design]
    Esto requiere comprender los siguientes principios de diseño, incluyendo los 8 principios de Saltzer y Schroeder:
    • economía de mecanismo (mantener el diseño lo más simple y pequeño posible, por ejemplo, adoptando simplificaciones radicales)
    • valores predeterminados seguros ante fallas (las decisiones de acceso deben denegar por defecto, y la instalación de los proyectos debe ser segura por defecto)
    • mediación completa (cada acceso que pueda ser limitado debe ser verificado por autoridad y ser no evitable)
    • diseño abierto (los mecanismos de seguridad no deben depender de la ignorancia del atacante de su diseño, sino de información más fácilmente protegida y modificable como claves y contraseñas)
    • separación de privilegios (idealmente, el acceso a objetos importantes debe depender de más de una condición, de modo que vencer un sistema de protección no permita el acceso completo. Por ejemplo, la autenticación multifactor, como requerir tanto una contraseña como un token de hardware, es más fuerte que la autenticación de un solo factor)
    • mínimo privilegio (los procesos deben operar con el mínimo privilegio necesario)
    • mecanismo menos común (el diseño debe minimizar los mecanismos comunes a más de un usuario y de los que dependen todos los usuarios, por ejemplo, directorios para archivos temporales)
    • aceptabilidad psicológica (la interfaz humana debe estar diseñada para facilitar su uso - diseñar para "menos sorpresa" puede ayudar)
    • superficie de ataque limitada (la superficie de ataque - el conjunto de los diferentes puntos donde un atacante puede intentar entrar o extraer datos - debe ser limitada)
    • validación de entradas con listas de permitidos (las entradas típicamente deben verificarse para determinar si son válidas antes de aceptarse; esta validación debe usar listas de permitidos (que solo aceptan valores conocidos como buenos), no listas de denegados (que intentan listar valores conocidos como malos)).
    Un "desarrollador principal" en un proyecto es cualquier persona que esté familiarizada con la base de código del proyecto, se sienta cómoda haciendo cambios en él y sea reconocida como tal por la mayoría de los demás participantes en el proyecto. Un desarrollador principal típicamente haría una serie de contribuciones durante el año pasado (a través de código, documentación o respondiendo preguntas). Los desarrolladores típicamente serían considerados desarrolladores principales si iniciaron el proyecto (y no han dejado el proyecto hace más de tres años), tienen la opción de recibir información sobre un canal privado de reporte de vulnerabilidades (si existe uno), pueden aceptar commits en nombre del proyecto, o realizar versiones finales del software del proyecto. Si solo hay un desarrollador, ese individuo es el desarrollador principal. Muchos libros y cursos están disponibles para ayudarle a comprender cómo desarrollar software más seguro y discutir el diseño. Por ejemplo, el curso Secure Software Development Fundamentals es un conjunto gratuito de tres cursos que explican cómo desarrollar software más seguro (es gratuito si lo audita; por una tarifa adicional puede obtener un certificado para demostrar que aprendió el material).

    Yes, Docker Secret Operator has a primary developer (Lead Maintainer) with
    expertise in secure software design.
    Primary Developer:

    Evidence of secure design knowledge:

    1. Security Documentation (SECURITY.md):

      • Threat model and attack surface analysis
      • Zero-trust principles implemented
      • Vulnerability disclosure process designed
      • Secure fallback behavior defined

    2. Security Architecture Decisions:

      • Context-based goroutine lifecycle (prevents resource leaks)
      • Lock manager fail-fast design (prevents silent data corruption)
      • Socket permissions enforced (0660 with gid verification)
      • Race condition detection in all tests (-race flag)
      • Timeout controls on critical I/O (prevents indefinite hangs)

    3. Critical Security Fixes (Phase 1):

      • Fixed goroutine leaks (DoS prevention)
      • Fixed resource cleanup issues (prevents file descriptor exhaustion)
      • Implemented proper context cancellation (prevents zombie processes)
      • Fixed lock manager initialization (prevents concurrent rotation corruption)

    4. Code Review and Governance:

      • Defined code review standards in GOVERNANCE.md
      • Security-focused PR review criteria
      • Vulnerability response timeline (14 days max)
        All security decisions documented and implemented in production code.

    ¡Suficiente para una insignia!

    Al menos uno de los desarrolladores principales del proyecto DEBE conocer tipos comunes de errores que conducen a vulnerabilidades en este tipo de software, así como al menos un método para contrarrestar o mitigar cada uno de ellos. [know_common_errors]
    Los ejemplos (dependiendo del tipo de software) incluyen inyección SQL, inyección de SO, desbordamiento de búfer clásico, cross-site scripting, falta de autenticación y falta de autorización. Ver el CWE/SANS top 25 o OWASP Top 10 para listas comúnmente usadas. Muchos libros y cursos están disponibles para ayudarle a comprender cómo desarrollar software más seguro y discutir errores de implementación comunes que conducen a vulnerabilidades. Por ejemplo, el curso Secure Software Development Fundamentals es un conjunto gratuito de tres cursos que explican cómo desarrollar software más seguro (es gratuito si lo audita; por una tarifa adicional puede obtener un certificado para demostrar que aprendió el material).

    Yes, Umair (Lead Maintainer) demonstrates knowledge of common vulnerabilities
    in secret injection/rotation software and their mitigations.

    Common vulnerability types addressed in DSO:

    1. Information Disclosure (Secret Leaks)

      • Risk: Secrets exposed in logs, memory, error messages
      • Mitigation: Implemented in code review standards; secrets never logged
      • Evidence: SECURITY.md threat model, code review guidelines

    2. Race Conditions (Concurrent Access)

      • Risk: Secrets corrupted by concurrent rotation/injection
      • Mitigation: Lock manager with fail-fast design, -race testing
      • Evidence: Phase 1 fix - lock manager initialization, concurrent test cases

    3. Resource Exhaustion (Goroutine Leaks)

      • Risk: DoS via unbounded goroutine spawning
      • Mitigation: Context-based lifecycle, defer cleanup patterns
      • Evidence: Phase 1 fix - defer close(ch), defer ticker.Stop()

    4. Privilege Escalation

      • Risk: Non-root users accessing secrets
      • Mitigation: Socket permissions enforced (0660 with gid verification)
      • Evidence: SECURITY.md socket security section, permission checks

    5. Denial of Service (Hangs)

      • Risk: Indefinite hangs on I/O operations
      • Mitigation: 30-second context timeouts on critical operations
      • Evidence: Phase 1 fix - resolver timeout, proxy scan timeout

    6. File Descriptor Leaks

      • Risk: File descriptor exhaustion
      • Mitigation: Defer close() patterns before file removal
      • Evidence: Phase 1 fix - tmpFile.Close() in up.go

    7. Provider Failures

      • Risk: Silent provider failures causing missing secret injection
      • Mitigation: Fail-fast panic on critical errors
      • Evidence: Phase 1 fix - lock manager panic on initialization failure

    All mitigations implemented and tested in production code.


  • Use buenas prácticas criptográficas

    Tenga en cuenta que algunos programas de software no necesitan usar mecanismos criptográficos. Si su proyecto produce software que (1) incluye, activa o habilita funcionalidad de cifrado, y (2) podría ser liberado desde los Estados Unidos (EE.UU.) hacia fuera de los EE.UU. o a una persona que no sea ciudadana de los EE.UU., es posible que esté legalmente obligado a tomar algunos pasos adicionales. Típicamente esto solo implica enviar un correo electrónico. Para más información, consulte la sección de cifrado de Understanding Open Source Technology & US Export Controls.

    ¡Suficiente para una insignia!

    El software producido por el proyecto DEBE usar, por defecto, solo protocolos y algoritmos criptográficos que estén públicamente publicados y revisados por expertos (si se usan protocolos y algoritmos criptográficos). [crypto_published]
    Estos criterios criptográficos no siempre aplican porque algunos programas de software no necesitan usar capacidades criptográficas directamente.

    ¡Suficiente para una insignia!

    Si el software producido por el proyecto es una aplicación o una librería, y su propósito principal no es implementar criptografía, entonces DEBE SOLAMENTE invocar un software específicamente diseñado para implementar funciones criptográficas; NO DEBERÍA volver a implementar el suyo. [crypto_call]

    ¡Suficiente para una insignia!

    Toda funcionalidad en el software producido por el proyecto que dependa de criptografía DEBE ser implementable usando FLOSS. [crypto_floss]
    Ver el Open Standards Requirement for Software by the Open Source Initiative.

    ¡Suficiente para una insignia!

    Los mecanismos de seguridad dentro del software producido por el proyecto DEBEN usar longitudes de clave predeterminadas que al menos cumplan con los requisitos mínimos de NIST hasta el año 2030 (como se declaró en 2012). DEBE ser posible configurar el software de modo que las longitudes de clave más pequeñas estén completamente deshabilitadas. [crypto_keylength]
    Estas longitudes mínimas de bits son: clave simétrica 112, módulo de factorización 2048, clave de logaritmo discreto 224, grupo logarítmico discreto 2048, curva elíptica 224 y hash 224 (el hash de contraseñas no está cubierto por esta longitud de bits, se puede encontrar más información sobre el hash de contraseñas en el criterio crypto_password_storage). Ver https://www.keylength.com para una comparación de recomendaciones de longitud de clave de varias organizaciones. El software PUEDE permitir longitudes de clave más pequeñas en algunas configuraciones (idealmente no lo haría, ya que esto permite ataques de degradación, pero las longitudes de clave más cortas a veces son necesarias para la interoperabilidad).

    ¡Suficiente para una insignia!

    Los mecanismos de seguridad predeterminados dentro del software producido por el proyecto NO DEBEN depender de algoritmos criptográficos rotos (por ejemplo, MD4, MD5, DES simple, RC4, Dual_EC_DRBG), o usar modos de cifrado que son inapropiados para el contexto, a menos que sean necesarios para implementar un protocolo interoperable (donde el protocolo implementado es la versión más reciente de ese estándar ampliamente soportada por el ecosistema de red, ese ecosistema requiere el uso de tal algoritmo o modo, y ese ecosistema no ofrece ninguna alternativa más segura). La documentación DEBE describir cualquier riesgo de seguridad relevante y cualquier mitigación conocida si estos algoritmos o modos rotos son necesarios para un protocolo interoperable. [crypto_working]
    El modo ECB casi nunca es apropiado porque revela bloques idénticos dentro del texto cifrado como lo demuestra el ECB penguin, y el modo CTR a menudo es inapropiado porque no realiza autenticación y causa duplicados si el estado de entrada se repite. En muchos casos es mejor elegir un modo de algoritmo de cifrado de bloque diseñado para combinar secreto y autenticación, por ejemplo, Galois/Counter Mode (GCM) y EAX. Los proyectos PUEDEN permitir a los usuarios habilitar mecanismos rotos (por ejemplo, durante la configuración) cuando sea necesario para la compatibilidad, pero entonces los usuarios saben que lo están haciendo.

    ¡Suficiente para una insignia!

    Los mecanismos de seguridad predeterminados dentro del software producido por el proyecto NO DEBERÍAN depender de algoritmos o modos criptográficos con debilidades serias conocidas (por ejemplo, el algoritmo hash criptográfico SHA-1 o el modo CBC en SSH). [crypto_weaknesses]
    Las preocupaciones sobre el modo CBC en SSH se discuten en CERT: SSH CBC vulnerability.

    ¡Suficiente para una insignia!

    Los mecanismos de seguridad dentro del software producido por el proyecto DEBERÍAN implementar confidencialidad directa perfecta para protocolos de acuerdo de claves de modo que una clave de sesión derivada de un conjunto de claves a largo plazo no pueda ser comprometida si una de las claves a largo plazo es comprometida en el futuro. [crypto_pfs]

    ¡Suficiente para una insignia!

    Si el software producido por el proyecto causa el almacenamiento de contraseñas para la autenticación de usuarios externos, las contraseñas DEBEN almacenarse como hashes iterados con un salt por usuario mediante el uso de un algoritmo de estiramiento de claves (iterado) (por ejemplo, Argon2id, Bcrypt, Scrypt o PBKDF2). Ver también OWASP Password Storage Cheat Sheet. [crypto_password_storage]
    Este criterio se aplica solo cuando el software está forzando la autenticación de usuarios usando contraseñas para usuarios externos (también conocida como autenticación entrante), como aplicaciones web del lado del servidor. No se aplica en casos donde el software almacena contraseñas para autenticarse en otros sistemas (también conocida como autenticación saliente, por ejemplo, el software implementa un cliente para algún otro sistema), ya que al menos partes de ese software deben tener acceso a menudo a la contraseña sin hash.

    ¡Suficiente para una insignia!

    Los mecanismos de seguridad dentro del software producido por el proyecto DEBEN generar todas las claves criptográficas y nonces utilizando un generador de números aleatorios criptográficamente seguro, y NO DEBEN hacerlo usando generadores que son criptográficamente inseguros. [crypto_random]
    Un generador de números aleatorios criptográficamente seguro puede ser un generador de números aleatorios de hardware, o puede ser un generador de números pseudo-aleatorios criptográficamente seguro (CSPRNG) que usa un algoritmo como Hash_DRBG, HMAC_DRBG, CTR_DRBG, Yarrow o Fortuna. Ejemplos de llamadas a generadores de números aleatorios seguros incluyen java.security.SecureRandom de Java y window.crypto.getRandomValues de JavaScript. Ejemplos de llamadas a generadores de números aleatorios inseguros incluyen java.util.Random de Java y Math.random de JavaScript.

  • Entrega garantizada contra ataques de hombre en el medio (MITM)


    ¡Suficiente para una insignia!

    El proyecto DEBE usar un mecanismo de entrega que contrarreste los ataques MITM. Usar https o ssh+scp es aceptable. [delivery_mitm]
    Un mecanismo aún más fuerte es publicar el software con paquetes firmados digitalmente, ya que eso mitiga los ataques en el sistema de distribución, pero esto solo funciona si los usuarios pueden estar seguros de que las claves públicas para las firmas son correctas y si los usuarios realmente verificarán la firma.

    Distribution channels use HTTPS exclusively. [osps_br_03_02]


    Información requerida desconocida, no es suficiente para una insignia.

    Un hash criptográfico (por ejemplo, un sha1sum) NO DEBE recuperarse a través de http y usarse sin verificar una firma criptográfica. [delivery_unsigned]
    Estos "hash" se pueden modificar en tránsito.

  • Vulnerabilidades públicamente conocidas corregidas


    Información requerida desconocida, no es suficiente para una insignia.

    NO DEBE haber vulnerabilidades sin parchar de severidad media o superior que hayan sido conocidas públicamente durante más de 60 días. [vulnerabilities_fixed_60_days]
    La vulnerabilidad debe ser parcheada y publicada por el proyecto mismo (los parches pueden desarrollarse en otro lugar). Una vulnerabilidad se convierte en conocida públicamente (para este propósito) una vez que tiene un CVE con información publicada públicamente sin muro de pago (reportada, por ejemplo, en la National Vulnerability Database) o cuando el proyecto ha sido informado y la información ha sido publicada al público (posiblemente por el proyecto). Una vulnerabilidad se considera de severidad media o superior si su puntuación cualitativa base del Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) es media o superior. En las versiones 2.0 a 3.1 de CVSS, esto es equivalente a una puntuación CVSS de 4.0 o superior. Los proyectos pueden usar la puntuación CVSS como se publica en una base de datos de vulnerabilidades ampliamente utilizada (como la National Vulnerability Database) usando la versión más reciente de CVSS reportada en esa base de datos. Los proyectos pueden en cambio calcular la severidad ellos mismos usando la última versión de CVSS en el momento de la divulgación de la vulnerabilidad, si las entradas de cálculo se revelan públicamente una vez que la vulnerabilidad es conocida públicamente. Nota: esto significa que los usuarios podrían quedar vulnerables a todos los atacantes en todo el mundo durante hasta 60 días. Este criterio es a menudo mucho más fácil de cumplir que lo que Google recomienda en Rebooting responsible disclosure, porque Google recomienda que el período de 60 días comience cuando se notifica al proyecto incluso si el informe no es público. También tenga en cuenta que este criterio de insignia, como otros criterios, se aplica al proyecto individual. Algunos proyectos son parte de organizaciones paraguas más grandes o proyectos más grandes, posiblemente en múltiples capas, y muchos proyectos alimentan sus resultados a otras organizaciones y proyectos como parte de una cadena de suministro potencialmente compleja. Un proyecto individual a menudo no puede controlar el resto, pero un proyecto individual puede trabajar para publicar un parche de vulnerabilidad de manera oportuna. Por lo tanto, nos enfocamos únicamente en el tiempo de respuesta del proyecto individual. Una vez que un parche está disponible del proyecto individual, otros pueden determinar cómo lidiar con el parche (por ejemplo, pueden actualizar a la versión más nueva o pueden aplicar solo el parche como una solución seleccionada).

    ¡Suficiente para una insignia!

    Los proyectos DEBERÍAN corregir todas las vulnerabilidades críticas rápidamente después de que se reporten. [vulnerabilities_critical_fixed]

  • Otros problemas de seguridad


    ¡Suficiente para una insignia!

    Los repositorios públicos NO DEBEN filtrar una credencial privada válida (por ejemplo, una contraseña funcional o una clave privada) que esté destinada a limitar el acceso público. [no_leaked_credentials]
    Un proyecto PUEDE filtrar credenciales de "muestra" para pruebas y bases de datos sin importancia, siempre que no estén destinadas a limitar el acceso público.

 Análisis 7/8

  • Análisis estático de código


    ¡Suficiente para una insignia!

    Al menos una herramienta de análisis de código estático (más allá de las advertencias del compilador y los modos de lenguaje "seguros") DEBE aplicarse a cualquier lanzamiento de producción importante propuesto del software antes de su lanzamiento, si hay al menos una herramienta FLOSS que implemente este criterio en el lenguaje seleccionado. [static_analysis]
    Una herramienta de análisis de código estático examina el código de software (como código fuente, código intermedio o ejecutable) sin ejecutarlo con entradas específicas. Para los propósitos de este criterio, las advertencias del compilador y los modos de lenguaje "seguros" no cuentan como herramientas de análisis de código estático (estos típicamente evitan el análisis profundo porque la velocidad es vital). Algunas herramientas de análisis estático se centran en detectar defectos genéricos, otras se centran en encontrar tipos específicos de defectos (como vulnerabilidades), y algunas hacen una combinación. Ejemplos de tales herramientas de análisis de código estático incluyen cppcheck (C, C++), clang static analyzer (C, C++), SpotBugs (Java), FindBugs (Java) (incluyendo FindSecurityBugs), PMD (Java), Brakeman (Ruby on Rails), lintr (R), goodpractice (R), Coverity Quality Analyzer, SonarQube, Codacy, y HP Enterprise Fortify Static Code Analyzer. Se pueden encontrar listas más grandes de herramientas en lugares como la lista de Wikipedia de herramientas para análisis de código estático, información de OWASP sobre análisis de código estático, lista de NIST de analizadores de seguridad de código fuente, y lista de Wheeler de herramientas de análisis estático. Si no hay herramientas de análisis estático FLOSS disponibles para el(los) lenguaje(s) de implementación utilizado(s), puede seleccionar 'N/A'.

    Yes, Docker Secret Operator applies staticcheck (FLOSS) for advanced static analysis before releases. Runs via GitHub Actions CI/CD, blocks merge if violations found.


    ¡Suficiente para una insignia!

    Se SUGIERE que al menos una de las herramientas de análisis estático utilizadas para el criterio static_analysis incluya reglas o enfoques para buscar vulnerabilidades comunes en el lenguaje o entorno analizado. [static_analysis_common_vulnerabilities]
    Las herramientas de análisis estático que están diseñadas específicamente para buscar vulnerabilidades comunes tienen más probabilidades de encontrarlas. Dicho esto, usar cualquier herramienta estática típicamente ayudará a encontrar algunos problemas, por lo que estamos sugiriendo pero no requiriendo esto para el nivel de insignia 'passing'.

    Yes, Docker Secret Operator applies gosec (FLOSS, MIT license) for security-focused
    static analysis before releases.

    gosec detects common vulnerabilities:

    • Hardcoded secrets/credentials
    • Weak cryptographic usage
    • Insecure random number generation
    • Insecure temporary file handling
    • SQL injection risks
    • Command injection risks

    Applied via GitHub Actions CI/CD (.github/workflows/coverage.yml)
    Blocks merge if vulnerabilities found.

    Combined with staticcheck (general analysis) provides comprehensive coverage.


    ¡Suficiente para una insignia!

    Todas las vulnerabilidades explotables de severidad media y superior descubiertas con el análisis de código estático DEBEN corregirse de manera oportuna después de que se confirmen. [static_analysis_fixed]
    Una vulnerabilidad se considera de severidad media o superior si su puntuación cualitativa base del Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) es media o superior. En las versiones 2.0 a 3.1 de CVSS, esto es equivalente a una puntuación CVSS de 4.0 o superior. Los proyectos pueden usar la puntuación CVSS como se publica en una base de datos de vulnerabilidades ampliamente utilizada (como la National Vulnerability Database) usando la versión más reciente de CVSS reportada en esa base de datos. Los proyectos pueden en cambio calcular la severidad ellos mismos usando la última versión de CVSS en el momento de la divulgación de la vulnerabilidad, si las entradas de cálculo se revelan públicamente una vez que la vulnerabilidad es conocida públicamente. Tenga en cuenta que el criterio vulnerabilities_fixed_60_days requiere que todas esas vulnerabilidades se corrijan dentro de los 60 días de hacerse públicas.

    Yes, Docker Secret Operator fixes all medium and higher severity vulnerabilities
    discovered by static analysis in a timely manner.

    Process:

    1. Static analysis tool (staticcheck/gosec) finds issue
    2. CI/CD blocks merge if medium+ severity detected
    3. Developer confirms vulnerability (false positives rejected)
    4. Lead Maintainer assigns priority
    5. Fix implemented and tested
    6. Pull request reviewed and merged
    7. Released in next patch version

    Timeline by severity:

    • Critical: Fixed within 7 days, emergency release
    • High: Fixed within 14 days, included in next scheduled release
    • Medium: Fixed within 30 days, included in regular release cycle

    Evidence from Phase 1 (May 2026):

    • Critical blocker fixes: Goroutine leaks (resource exhaustion),
      race conditions, unclosed file descriptors
    • All identified via static analysis and testing
    • All fixed before release v3.5.17
    • Zero outstanding medium+ vulnerabilities in main branch

    Tracking:

    • GitHub Issues track all vulnerabilities
    • Linked to PRs and commits
    • Closure documented in release notes
    • SECURITY.md documents response timeline

    ¡Suficiente para una insignia!

    Se SUGIERE que el análisis de código fuente estático ocurra en cada commit o al menos diariamente. [static_analysis_often]

  • Análisis dinámico de código


    ¡Suficiente para una insignia!

    Se SUGIERE que al menos una herramienta de análisis dinámico se aplique a cualquier lanzamiento de producción importante propuesto del software antes de su lanzamiento. [dynamic_analysis]
    Una herramienta de análisis dinámico examina el software ejecutándolo con entradas específicas. Por ejemplo, el proyecto PUEDE usar una herramienta de fuzzing (por ejemplo, American Fuzzy Lop) o un escáner de aplicaciones web (por ejemplo, OWASP ZAP o w3af). En algunos casos, el proyecto OSS-Fuzz puede estar dispuesto a aplicar pruebas de fuzzing a su proyecto. Para los propósitos de este criterio, la herramienta de análisis dinámico necesita variar las entradas de alguna manera para buscar varios tipos de problemas o ser una suite de pruebas automatizada con al menos 80% de cobertura de ramas. La página de Wikipedia sobre análisis dinámico y la página de OWASP sobre fuzzing identifican algunas herramientas de análisis dinámico. La(s) herramienta(s) de análisis PUEDEN estar enfocadas en buscar vulnerabilidades de seguridad, pero esto no es obligatorio.

    Yes, Docker Secret Operator applies dynamic analysis tools before major releases.

    Primary tool: go test -race (FLOSS)

    • Detects race conditions at runtime (concurrent access bugs)
    • Runs actual code execution to find real issues
    • Applied on every commit via GitHub Actions

    Dynamic analysis applied:

    1. go test -race ./...

      • Detects goroutine races
      • Finds unsafe concurrent access
      • Evidence: Phase 1 fixed goroutine leaks detected via race detector

    2. go test -cover

      • Measures code execution coverage
      • Ensures all code paths tested
      • Enforced minimum: 70% overall, 85% critical packages

    3. GitHub Actions CI/CD

      • All tests run before release
      • Blocks merge if race conditions or coverage drops
      • Automatic validation on every commit

    Before v3.5.17 release:

    • Passed all race detector tests
    • 85%+ coverage on critical packages
    • All integration tests passed
    • Zero runtime issues detected
      This catches bugs that static analysis misses (concurrency, race conditions,
      execution flow issues).

    ¡Suficiente para una insignia!

    Se SUGIERE que si el software producido por el proyecto incluye software escrito usando un lenguaje no seguro en memoria (por ejemplo, C o C++), entonces se use rutinariamente al menos una herramienta dinámica (por ejemplo, un fuzzer o escáner de aplicaciones web) en combinación con un mecanismo para detectar problemas de seguridad de memoria como desbordamientos de búfer. Si el proyecto no produce software escrito en un lenguaje no seguro en memoria, elija "no aplicable" (N/A). [dynamic_analysis_unsafe]
    Ejemplos de mecanismos para detectar problemas de seguridad de memoria incluyen Address Sanitizer (ASAN) (disponible en GCC y LLVM), Memory Sanitizer, y valgrind. Otras herramientas potencialmente utilizadas incluyen thread sanitizer y undefined behavior sanitizer. También funcionarían aserciones generalizadas.

    Información requerida desconocida, no es suficiente para una insignia.

    Se SUGIERE que el proyecto use una configuración para al menos algún análisis dinámico (como pruebas o fuzzing) que habilite muchas aserciones. En muchos casos estas aserciones no deberían estar habilitadas en compilaciones de producción. [dynamic_analysis_enable_assertions]
    Este criterio no sugiere habilitar aserciones durante la producción; eso depende completamente del proyecto y sus usuarios decidir. El enfoque de este criterio es en cambio mejorar la detección de fallas durante el análisis dinámico antes del despliegue. Habilitar aserciones en el uso de producción es completamente diferente de habilitar aserciones durante el análisis dinámico (como las pruebas). En algunos casos, habilitar aserciones en el uso de producción es extremadamente imprudente (especialmente en componentes de alta integridad). Hay muchos argumentos contra habilitar aserciones en producción, por ejemplo, las bibliotecas no deberían bloquear a los llamadores, su presencia puede causar rechazo por las tiendas de aplicaciones, y/o activar una aserción en producción puede exponer datos privados como claves privadas. Tenga en cuenta que en muchas distribuciones de Linux NDEBUG no está definido, por lo que assert() de C/C++ estará habilitado por defecto para producción en esos entornos. Puede ser importante usar un mecanismo de aserción diferente o definir NDEBUG para producción en esos entornos.

    ¡Suficiente para una insignia!

    Todas las vulnerabilidades explotables de severidad media y superior descubiertas con análisis de código dinámico DEBEN ser corregidas de manera oportuna después de que sean confirmadas. [dynamic_analysis_fixed]
    Si no está ejecutando análisis de código dinámico y por lo tanto no ha encontrado ninguna vulnerabilidad de esta manera, elija "no aplicable" (N/A). Una vulnerabilidad se considera de severidad media o superior si su puntuación cualitativa base del Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) es media o superior. En las versiones 2.0 a 3.1 de CVSS, esto es equivalente a una puntuación CVSS de 4.0 o superior. Los proyectos pueden usar la puntuación CVSS como se publica en una base de datos de vulnerabilidades ampliamente utilizada (como la National Vulnerability Database) usando la versión más reciente de CVSS reportada en esa base de datos. Los proyectos pueden en cambio calcular la severidad ellos mismos usando la última versión de CVSS en el momento de la divulgación de la vulnerabilidad, si las entradas de cálculo se revelan públicamente una vez que la vulnerabilidad es conocida públicamente.


Estos datos están disponibles bajo el Acuerdo de Licencia de Datos de la Comunidad – Permisivo, Versión 2.0 (CDLA-Permissive-2.0). Esto significa que un Destinatario de Datos puede compartir los Datos, con o sin modificaciones, siempre que el Destinatario de Datos ponga a disposición el texto de este acuerdo con los Datos compartidos. Por favor, acredite a Md Umair y a los colaboradores de la insignia de Mejores Prácticas de OpenSSF.

Entrada de insignia del proyecto propiedad de: Md Umair.
Entrada creada el 2026-05-20 13:05:05 UTC, última actualización el 2026-05-21 04:44:32 UTC.