Argentum

Los proyectos que siguen las mejores prácticas a continuación pueden autocertificarse voluntariamente y demostrar que han obtenido una insignia de mejores prácticas de Open Source Security Foundation (OpenSSF).

No existe un conjunto de prácticas que pueda garantizar que el software nunca tendrá defectos o vulnerabilidades; incluso los métodos formales pueden fallar si las especificaciones o suposiciones son incorrectas. Tampoco existe ningún conjunto de prácticas que pueda garantizar que un proyecto mantenga una comunidad de desarrollo saludable y que funcione bien. Sin embargo, seguir las mejores prácticas puede ayudar a mejorar los resultados de los proyectos. Por ejemplo, algunas prácticas permiten la revisión por parte de múltiples personas antes del lanzamiento, lo que puede ayudar a encontrar vulnerabilidades técnicas que de otro modo serían difíciles de encontrar y ayudar a generar confianza y un deseo repetido de interacción entre desarrolladores de diferentes compañías. Para obtener una insignia, se deben cumplir todos los criterios DEBE y NO DEBE, se deben cumplir, así como todos los criterios DEBERÍAN deben cumplirse o ser justificados, y todos los criterios SUGERIDOS se pueden cumplir o incumplir (queremos que se consideren al menos). Si desea añadir texto como justificación mediante un comentario genérico, en lugar de ser un razonamiento de que la situación es aceptable, comience el bloque de texto con '//' seguido de un espacio. Los comentarios son bienvenidos a través del sitio de GitHub mediante "issues" o "pull requests". También hay una lista de correo electrónico para el tema principal.

Con mucho gusto proporcionaríamos la información en varios idiomas, sin embargo, si hay algún conflicto o inconsistencia entre las traducciones, la versión en inglés es la versión autorizada.
Si este es su proyecto, por favor muestre el estado de su insignia base en la página de su proyecto. El estado de la insignia base se ve así: El nivel de insignia base para el proyecto 12957 es baseline-3 Aquí se explica cómo insertar la insignia base:
Puede mostrar el estado de su insignia base insertando esto en su archivo markdown:
[![OpenSSF Baseline](https://www.bestpractices.dev/projects/12957/baseline)](https://www.bestpractices.dev/projects/12957)
o insertando esto en su HTML:
<a href="https://www.bestpractices.dev/projects/12957"><img src="https://www.bestpractices.dev/projects/12957/baseline"></a>


Estos son los criterios de Nivel Base 3. Estos son los criterios de la versión v2026.02.19.

Baseline Series: Nivel Base 1 Nivel Base 2 Nivel Base 3

        

 Fundamentos

  • General

    Tenga en cuenta que otros proyectos pueden usar el mismo nombre.

    Argentum is a local-first AI workspace. It runs on your own machine so your data stays with you. You can chat with AI providers you choose, route conversations through Telegram, Discord, or other channels, keep memory across sessions, and use a full desktop app instead of juggling browser tabs.

    Por favor use formato de expresión de licencia SPDX; los ejemplos incluyen "Apache-2.0", "BSD-2-Clause", "BSD-3-Clause", "GPL-2.0+", "LGPL-3.0+", "MIT" y "(BSD-2-Clause OR Ruby)". No incluya comillas simples o comillas dobles.
    Si hay más de un lenguaje, enumérelos como valores separados por comas (los espacios son opcionales) y ordénelos de más a menos usado. Si hay una lista larga, por favor enumere al menos los tres primeros más comunes. Si no hay lenguaje (por ejemplo, este es un proyecto solo de documentación o solo de pruebas), use el carácter único "-". Por favor use una capitalización convencional para cada lenguaje, por ejemplo, "JavaScript".
    La Common Platform Enumeration (CPE) es un esquema de nomenclatura estructurado para sistemas de tecnología de la información, software y paquetes. Se utiliza en varios sistemas y bases de datos al reportar vulnerabilidades.

    Argentum runs entirely locally - no cloud subscriptions, no data leaves the machine.
    Suitable for self-hosting on desktop, server, or via Docker.

    Built with TypeScript-first approach, with Rust-based desktop client for Windows/macOS/Linux.
    Supports 8+ messaging channels to unify communication in one interface.

    Ideal for developers and power users who want an AI assistant under their own control.

 Controles 21/21

  • Controles


    ¡Suficiente para una insignia!

    Cuando se asigna permisos a un trabajo en un pipeline de CI/CD, el código fuente o configuración DEBE asignar solo los privilegios mínimos necesarios para la actividad correspondiente. [OSPS-AC-04.02]
    Configure los pipelines de CI/CD del proyecto para asignar los permisos más bajos disponibles a usuarios y servicios por defecto, elevando los permisos solo cuando sea necesario para tareas específicas. En algunos sistemas de control de versiones, esto puede ser posible a nivel organizacional o de repositorio. Si no es posible, establezca los permisos en el nivel superior del pipeline.
    • ci.yml: contents: read (minimal)
    • codeql.yml: contents: read + security-events: write (only at job level)
    • scorecard.yml: contents: read + security-events: write (only at job level)
    • trivy.yml: contents: read
    • semgrep.yml: contents: read
    • release.yml: contents: read + id-token: write (only for Sigstore OIDC)
    • npm-version-check.yml: contents: read

    Top-level permissions are minimal; elevated only when necessary.


    ¡Suficiente para una insignia!

    Los flujos de CI/CD que aceptan entradas de colaboradores de confianza DEBEN sanear y validar dichas entradas antes de utilizarlas en el flujo. [OSPS-BR-01.04]
    Los flujos de CI/CD deben sanear (entre comillas, escapar o salir en valores esperados) todas las entradas de colaboradores en ejecuciones explícitas de flujos de trabajo. Aunque los colaboradores son generalmente de confianza, las entradas manuales a un flujo de trabajo no pueden revisarse y podrían ser abusadas por una toma de control de cuenta o una amenaza interna.
    • security-changelog.yml: version input validated via semantic version check in generate-security-changelog.js
    • release.yml: version derived from git tag (git ref), not user-controlled
    • All user inputs are typed (string) and used via GitHub Actions environment (automatic escaping)
    • No direct shell injection possible: inputs used via ${{ }} template syntax with proper quoting
    • Version validation in script ensures only valid SemVer patterns used

    ¡Suficiente para una insignia!

    Cuando se crea un lanzamiento oficial, todos los activos dentro de ese lanzamiento DEBEN estar claramente asociados con el identificador del lanzamiento u otro identificador único para el activo. [OSPS-BR-02.02]
    Asigne un identificador de versión único a cada activo de software producido por el proyecto, siguiendo una convención de nomenclatura o esquema de numeración consistente. Ejemplos incluyen SemVer, CalVer, o git commit id.
    • Release assets named with SemVer pattern: argentum-v0.0.7-linux-x64, argentum-cli-v0.0.7-win-x64.exe, etc.
    • Sigstore cosign bundles created alongside each binary (e.g., argentum-v0.0.7-linux-x64.cosign-bundle) - bundles contain cryptographic signature tied to GitHub OIDC issuer + repository + SHA256 hash
    • SHA256SUMS.txt maps each asset filename to its cryptographic hash
    • Release ID (tag name) associated with all assets via GitHub Releases UI
    • Tauri desktop installers include version in filename: Argentum_0.0.7_x64-setup.exe, etc.

    ¡Suficiente para una insignia!

    El proyecto DEBE definir una política para gestionar secretos y credenciales utilizados por el proyecto. La política debe incluir directrices para almacenar, acceder y rotar secretos y credenciales. [OSPS-BR-07.02]
    Documente cómo se gestionan y utilizan los secretos y credenciales dentro del proyecto. Esto debe incluir detalles sobre cómo se almacenan los secretos (por ejemplo, utilizando una herramienta de gestión de secretos), cómo se controla el acceso y cómo se rotan o actualizan los secretos. Asegúrese de que la información sensible no esté codificada directamente en el código fuente ni almacenada en sistemas de control de versiones.

    SECURITY.md "Security Features" section documents:

    • AES-256-GCM encryption for credentials at rest
    • Credential manager with short-lived key rotation
    • No secrets hard-coded in source code
    • argenta.yaml (config with encrypted secrets) gitignored
    • GitHub Secrets used for CI/CD pipelines
    • Access controlled via GitHub repository permissions

    Secrets stored encrypted in config/argenta.yaml, never in version control.


    ¡Suficiente para una insignia!

    Cuando el proyecto haya realizado un lanzamiento, la documentación del proyecto DEBE contener instrucciones para verificar la integridad y autenticidad de los activos del lanzamiento. [OSPS-DO-03.01]
    Las instrucciones en el proyecto deben contener información sobre la tecnología utilizada, los comandos a ejecutar y la salida esperada. Cuando sea posible, evite almacenar esta documentación en la misma ubicación que el pipeline de compilación y lanzamiento para evitar que una sola violación comprometa tanto el software como la documentación para verificar la integridad del software.

    docs/releases/v0.0.7.md includes dedicated "Verify Release Integrity" section with:

    • Technology used: SHA256 checksums + Sigstore cosign (cryptographic verification)
    • Commands to run: sha256sum --check + cosign verify-blob
    • Expected output: "<filename>: OK" for SHA256; signature verification result for cosign
    • Documentation is separate from build/release pipeline (in docs/releases/, not in .github/workflows/)
    • Both integrity (SHA256) and authenticity (Sigstore) verification methods explained

    ¡Suficiente para una insignia!

    Cuando el proyecto haya realizado un lanzamiento, la documentación del proyecto DEBE contener instrucciones para verificar la identidad esperada de la persona o proceso que crea el lanzamiento del software. [OSPS-DO-03.02]
    La identidad esperada puede estar en forma de IDs de clave utilizados para firmar, emisor e identidad de un certificado sigstore, u otras formas similares. Cuando sea posible, evite almacenar esta documentación en la misma ubicación que el pipeline de compilación y lanzamiento para evitar que una sola violación comprometa tanto el software como la documentación para verificar la integridad del software.

    cosign verify-blob command includes:
    --certificate-identity-regexp "https://github.com/AG064/argentum"
    --certificate-oidc-issuer https://token.actions.githubusercontent.com

    This verifies:

    • The binary was signed by GitHub Actions workflow in AG064/argentum repository
    • The OIDC issuer is token.actions.githubusercontent.com (GitHub's Sigstore issuer)
    • The certificate identity matches our repository URL

    Documentation is in docs/releases/ (separate from .github/workflows/).


    ¡Suficiente para una insignia!

    Cuando el proyecto haya realizado un lanzamiento, la documentación del proyecto DEBE incluir una declaración descriptiva sobre el alcance y la duración del soporte para cada lanzamiento. [OSPS-DO-04.01]
    Para comunicar el alcance y la duración del soporte para los activos de software lanzados del proyecto, el proyecto debe tener un archivo SUPPORT.md, una sección "Soporte" en SECURITY.md, u otra documentación que explique el ciclo de vida del soporte, incluyendo la duración esperada del soporte para cada lanzamiento, los tipos de soporte proporcionados (por ejemplo, corrección de errores, actualizaciones de seguridad), y cualquier política o procedimiento relevante para obtener soporte.

    SUPPORT.md (or SECURITY.md "Support" section) documents:

    • Supported versions (latest stable release)
    • Support duration (security fixes only for latest major version)
    • Types of support provided (bug fixes, security updates)
    • How to get support (GitHub Issues, Security Advisories)

    Example: Only latest v0.0.x receives security updates, older versions unsupported.


    ¡Suficiente para una insignia!

    Cuando el proyecto haya realizado un lanzamiento, la documentación del proyecto DEBE proporcionar una declaración descriptiva sobre cuándo los lanzamientos o versiones ya no recibirán actualizaciones de seguridad. [OSPS-DO-05.01]
    Para comunicar el alcance y la duración del soporte para correcciones de seguridad, el proyecto debe tener un SUPPORT.md u otra documentación que explique la política del proyecto para actualizaciones de seguridad.

    SUPPORT.md "Unsupported Versions" section clearly states:

    • Versions older than the latest no longer receive security updates
    • They "likely contain unpatched security vulnerabilities"
    • Users are "strongly encouraged to upgrade"

    ¡Suficiente para una insignia!

    Mientras esté activo, la documentación del proyecto DEBE tener una política que establezca que los colaboradores de código sean revisados antes de otorgarles permisos elevados a recursos sensibles. [OSPS-GV-04.01]
    Publique una política exigible en la documentación del proyecto que requiera que los colaboradores de código sean revisados y aprobados antes de otorgarles permisos elevados a recursos sensibles, como aprobación de fusiones o acceso a secretos. Se recomienda que la verificación incluya establecer un linaje justificable de identidad, como confirmar la asociación del colaborador con una organización confiable conocida.

    CONTRIBUTING.md "Pull Request Checklist" section:

    • PR requires review before merge
    • Branch protection enabled on development (require PR + 1 approval)
    • "Changes that break the build" won't get merged

    MEMBERS.md Access Inventory shows sensitive resource access only to AG064.

    Code review is enforced via GitHub branch protection settings.


    ¡Suficiente para una insignia!

    Cuando el proyecto haya realizado un lanzamiento, todos los activos de software compilados lanzados DEBEN ser entregados con una lista de materiales de software. [OSPS-QA-02.02]
    Se recomienda generar automáticamente SBOMs en el momento de la compilación utilizando una herramienta que haya sido verificada para precisión. Esto permite a los usuarios ingerir estos datos en un enfoque estandarizado junto con otros proyectos en su entorno.

    Release workflow includes SBOM generation using anchore/sbom-action. Outputs CycloneDX JSON format for each portable binary. SBOM files uploaded as release assets alongside binaries. Auto-generated at build time from build artifacts.


    ¡Suficiente para una insignia!

    Cuando el proyecto haya realizado un lanzamiento que comprenda múltiples repositorios de código fuente, todos los subproyectos DEBEN aplicar requisitos de seguridad que sean tan estrictos o más estrictos que la base de código principal. [OSPS-QA-04.02]
    Cualquier repositorio de código de subproyecto adicional producido por el proyecto y compilado en un lanzamiento debe aplicar requisitos de seguridad según sea aplicable al estado e intención de la base de código respectiva. Además de seguir los requisitos correspondientes de la Línea Base OSPS, esto puede incluir requerir una revisión de seguridad, asegurar que esté libre de vulnerabilidades y asegurar que esté libre de problemas de seguridad conocidos.

    SUBPROJECTS.md documents the policy that would apply if subprojects exist:

    • "Currently, Argentum is a single monorepo with no subprojects"
    • If subprojects are added in future, each must:
      • Enforce security requirements at least as strict as main codebase
      • Have CI pipeline with SAST (CodeQL or equivalent)
      • Have dependency scanning (Trivy, osv-scanner)
      • Have Security policy (SECURITY.md, SUPPORT.md)
      • Have SBOM generation for release artifacts
      • Have signed releases (Sigstore cosign)

    This future-proofs the project for when subprojects may be created.


    ¡Suficiente para una insignia!

    Mientras esté activo, la documentación del proyecto DEBE documentar claramente cuándo y cómo se ejecutan las pruebas. [OSPS-QA-06.02]
    Agregue una sección a la documentación de contribución que explique cómo ejecutar las pruebas localmente y cómo ejecutar las pruebas en el pipeline de CI/CD. La documentación debe explicar qué están probando las pruebas y cómo interpretar los resultados.

    CONTRIBUTING.md includes "Testing" section (added at line 96):

    • How to run tests locally: npm test, npm run test:unit, npm run test:integration, etc.
    • What the tests cover: table listing test suites and their purposes
    • How to interpret results: explaining pass/fail output
    • CI/CD pipeline: explains when tests run automatically

    ¡Suficiente para una insignia!

    Mientras esté activo, la documentación del proyecto DEBE incluir una política que establezca que todos los cambios importantes al software producido por el proyecto deben agregar o actualizar las pruebas de la funcionalidad en una suite de pruebas automatizada. [OSPS-QA-06.03]
    Agregue una sección a la documentación de contribución que explique la política para agregar o actualizar pruebas. La política debe explicar qué constituye un cambio importante y qué pruebas deben agregarse o actualizarse.

    CONTRIBUTING.md "Test Policy for Major Changes" section exists:

    • Defines what constitutes a major change (new features, API changes, bug fixes, security changes)
    • Specifies what tests to add: unit tests for new functionality, regression tests for bug fixes
    • States PR policy: new features require tests, regression tests required for bug fixes
    • Acknowledges current thin coverage but commits to testing for major changes

    ¡Suficiente para una insignia!

    Cuando se realiza un commit a la rama principal, el sistema de control de versiones del proyecto DEBE requerir al menos una aprobación humana no autora de los cambios antes de fusionarlos. [OSPS-QA-07.01]
    Configure el sistema de control de versiones del proyecto para requerir al menos una aprobación humana no autora de los cambios antes de fusionarlos en la rama de lanzamiento o principal. Esto se puede lograr requiriendo que un pull request sea revisado y aprobado por al menos otro colaborador antes de que pueda fusionarse.

    Single-maintainer project: Argentum is maintained by one person (me, AG064) with no additional collaborators.

    Branch protection is enabled (direct pushes to development/main blocked).
    PR workflow exists and is used for all changes.
    Self-review is performed via PR process.

    However, requiring non-author human approval is impossible without a second collaborator.
    This is a project structure constraint, not a security policy failure.
    If the project grows to include additional maintainers, this requirement will be enforced.


    ¡Suficiente para una insignia!

    Cuando el proyecto haya realizado un lanzamiento, el proyecto DEBE realizar un modelado de amenazas y análisis de superficie de ataque para comprender y protegerse contra ataques en rutas de código críticas, funciones e interacciones dentro del sistema. [OSPS-SA-03.02]
    El modelado de amenazas es una actividad donde el proyecto examina la base de código, procesos asociados e infraestructura, interfaces, componentes clave y "piensa como un hacker" y hace una lluvia de ideas sobre cómo el sistema puede ser vulnerado o comprometido. Cada amenaza identificada se enumera para que el proyecto pueda pensar en cómo evitar proactivamente o cerrar cualquier brecha/vulnerabilidad que pueda surgir. Asegúrese de que esto se actualice para nuevas características o cambios importantes.

    SECURITY.md "Security Risks & Threat Model" section includes:

    • Threat model covering 11 categories (60+ entries) of critical code paths, functions, and interactions
    • Each threat has Likelihood/Impact/Mitigation assessment
    • "Threat Model Maintenance" section added: MUST be updated for new features/breaking changes
    • "Threat Model Review Required" note at top of section
    • docs/releases/TEMPLATE.md includes checkbox: "Verify SECURITY.md threat model reflects new features/attack paths"
    • Current threat model covers v0.0.7 release
    • Next review scheduled before v0.0.8 release

    ¡Suficiente para una insignia!

    Mientras esté activo, cualquier vulnerabilidad en los componentes de software que no afecte al proyecto DEBE ser contabilizada en un documento VEX, aumentando el informe de vulnerabilidad con detalles de no explotabilidad. [OSPS-VM-04.02]
    Establezca un feed VEX comunicando el estado de explotabilidad de vulnerabilidades conocidas, incluyendo detalles de evaluación o cualquier mitigación implementada que impida que el código vulnerable sea ejecutado.

    SECURITY_DEPENDENCY_NOTES.md serves as VEX (Vulnerability Exploitability eXchange) document:

    • Documents known vulnerabilities in software components (npm bundled modules)
    • Provides non-exploitability details: "The project's direct dependency is correctly overridden"
    • Specifies mitigations in place: package.json overrides ensure patched versions are used
    • Status for each vulnerability: "No additional action required - project override ensures correct version"

    Each entry shows:

    • CVE identifier
    • Location (bundled npm modules, not direct project dependency)
    • Project override in place (package.json overrides.picomatch, etc.)
    • Why not exploitable via project code
    • Mitigation: npm package.json overrides resolve to patched versions

    VEX document updated when new vulnerabilities are discovered or mitigations change.


    ¡Suficiente para una insignia!

    Mientras esté activo, la documentación del proyecto DEBE incluir una política que defina un umbral para la remediación de hallazgos de SCA relacionados con vulnerabilidades y licencias. [OSPS-VM-05.01]
    Documente una política en el proyecto que defina un umbral para la remediación de hallazgos de Análisis de Composición de Software (SCA) relacionados con vulnerabilidades y licencias. Incluya el proceso para identificar, priorizar y remediar estos hallazgos.

    SECURITY_DEPENDENCY_NOTES.md now includes "SCA Remediation Policy" section with:

    • Severity threshold table (Critical: 24h, High: 7 days, Medium: 30 days, Low: best effort)
    • License policy (allowed/prohibited licenses)
    • Process: Identify -> Prioritize -> Remediate -> Document -> Verify
    • Exceptions for bundled npm modules, RUSTSEC, false positives

    Trivy runs in CI on every push (from .github/workflows/trivy.yml).
    Process documented for handling SCA findings.


    ¡Suficiente para una insignia!

    Mientras esté activo, la documentación del proyecto DEBE incluir una política para abordar violaciones de SCA antes de cualquier lanzamiento. [OSPS-VM-05.02]
    Documente una política en el proyecto para abordar los resultados aplicables del Análisis de Composición de Software antes de cualquier lanzamiento, y agregue verificaciones de estado que comprueben el cumplimiento de esa política antes del lanzamiento.

    release.yml now includes Trivy SCA scan step:

    • Runs after build, before release artifacts are uploaded
    • Scans release artifacts for Critical/High vulnerabilities
    • Uploads results to GitHub Security tab (SARIF format)
    • Blocks release if Critical/High vulnerabilities found (exit-code: 1)
    • Policy documented in SECURITY_DEPENDENCY_NOTES.md "SCA Remediation Policy" section

    Release workflow now:

    1. Build binaries
    2. Run Trivy scan (CRITICAL/HIGH)
    3. If vulnerabilities found -> fail and block release
    4. Only proceed if scan passes

    ¡Suficiente para una insignia!

    Mientras esté activo, todos los cambios en la base de código del proyecto DEBEN ser automáticamente evaluados contra una política documentada para dependencias maliciosas y vulnerabilidades conocidas en dependencias, y luego bloqueados en caso de violaciones, excepto cuando se declaren y supriman como no explotables. [OSPS-VM-05.03]
    Cree una verificación de estado en el sistema de control de versiones del proyecto que ejecute una herramienta de Análisis de Composición de Software en todos los cambios en la base de código. Requiera que la verificación de estado pase antes de que los cambios puedan fusionarse.

    .github/workflows/dependency-scan.yml created:

    • Runs on: push to development/main AND pull requests
    • Runs npm audit --audit-level=high
    • Runs Trivy scan on entire codebase (fs mode)
    • Uploads results to GitHub Security tab (SARIF)
    • Blocks merge if Critical/High vulnerabilities found (exit 1)
    • Exceptions can be declared via .trivyignore or osv-scanner.toml

    Policy documented in SECURITY_DEPENDENCY_NOTES.md SCA Remediation Policy section:

    • Critical: 24h remediation
    • High: 7 days
    • Exceptions: documented in .trivyignore or per-CVE suppression

    Branch protection ensures this check must pass before merge.


    ¡Suficiente para una insignia!

    Mientras esté activo, la documentación del proyecto DEBE incluir una política que defina un umbral para la remediación de hallazgos de SAST. [OSPS-VM-06.01]
    Documente una política en el proyecto que defina un umbral para la remediación de hallazgos de Pruebas de Seguridad de Aplicaciones Estáticas (SAST). Incluya el proceso para identificar, priorizar y remediar estos hallazgos.

    SECURITY.md "SAST Remediation Policy" section includes:

    • Severity threshold table (Critical: 24h, High: 7 days, Medium: 30 days, Low: best effort)
    • Process: Identify (CodeQL) -> Prioritize -> Remediate -> Suppress -> Verify
    • Suppression guidelines requiring inline comments explaining why
    • Example suppression comment provided

    CodeQL runs on every push from .github/workflows/codeql.yml


    ¡Suficiente para una insignia!

    Mientras esté activo, todos los cambios en la base de código del proyecto DEBEN ser automáticamente evaluados contra una política documentada para debilidades de seguridad y bloqueados en caso de violaciones excepto cuando se declaren y supriman como no explotables. [OSPS-VM-06.02]
    Cree una verificación de estado en el sistema de control de versiones del proyecto que ejecute una herramienta de Pruebas de Seguridad de Aplicaciones Estáticas (SAST) en todos los cambios en la base de código. Requiera que la verificación de estado pase antes de que los cambios puedan fusionarse.

    Branch ruleset for development includes:

    • CodeQL Analysis as required status check
    • Code scanning rule: CodeQL, Scorecard, Trivy all set to high_or_higher
    • Pull request rule: 1 approval required
    • Branch protection enforced via GitHub's ruleset API (new format)


Estos datos están disponibles bajo el Acuerdo de Licencia de Datos de la Comunidad – Permisivo, Versión 2.0 (CDLA-Permissive-2.0). Esto significa que un Destinatario de Datos puede compartir los Datos, con o sin modificaciones, siempre que el Destinatario de Datos ponga a disposición el texto de este acuerdo con los Datos compartidos. Por favor, acredite a AG064 y a los colaboradores de la insignia de Mejores Prácticas de OpenSSF.

Entrada de insignia del proyecto propiedad de: AG064.
Entrada creada el 2026-05-24 05:44:50 UTC, última actualización el 2026-05-26 00:21:59 UTC. Última obtención de la insignia de nivel básico el 2026-05-25 14:37:43 UTC.