Tesseract-Vault

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

ソフトウェアに欠陥や脆弱性がないことを保証する手立てはありません。形式論的な証明ができたとしても、仕様や前提が間違っていると誤動作の可能性があります。また、プロジェクトが健全で、かつ機能的な開発コミュニティであり続けることを保証する手立てもありません。しかし、ベストプラクティスの採用は、プロジェクトの成果の向上に寄与する可能性があります。たとえば、いくつものベストプラクティスがリリース前の複数人によるレビューを定めていますが、それによりレビュー以外では発見困難な技術的脆弱性を見つけるのを助け、同時に異なる企業の開発者間の信頼を築き、さらに交流を続けることに対する意欲を生んでいます。バッジを獲得するには、すべてのMUSTおよびMUST NOT基準を満たさなければなりません。すべてのSHOULD基準も満たさなければなりませんが、正当な理由がある場合は満たさなくても構いません。そしてすべてのSUGGESTED基準も満たさなければなりませんが、満たさないとしても、少なくとも考慮することが望まれます。フィードバックは、 GitHubサイトのissueまたはpull requestとして提示されれば歓迎します。また、議論のためのメールリストも用意されています。

私たちは多言語で情報を提供していますが、翻訳版に矛盾や意味の不一致がある場合は、英語版を正式な記述とします。

これがあなたのプロジェクトなら、あなたのプロジェクトページにあなたのバッジステータスを表示してください！バッジステータスは次のようになります。

バッジステータスの埋め込み方法は次のとおりです。

バッジステータスを表示するには、あなたのプロジェクトのマークダウンファイルに以下を埋め込みます

[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/11678/badge)](https://www.bestpractices.dev/projects/11678)

あるいは、以下をHTMLに埋め込みます

<a href="https://www.bestpractices.dev/projects/11678"><img src="https://www.bestpractices.dev/projects/11678/badge"></a>

これらは

レベルの基準です。

または

レベル基準を表示することもできます。

変更管理 1/1 ●

以前のバージョン

Criterion [maintenance_or_update]
適合

不適合

該当なし

?

プロジェクトは、最も頻繁に使用される古いバージョンの製品を維持するか、または新しいバージョンへのアップグレードを提供しなければなりません。アップグレード方法が困難な場合は、プロジェクトは、アップグレード方法（変更されたインターフェイスや、アップグレードに役立つ詳細な手順など）を記載しなければなりません。 ^{[maintenance_or_update]}

The project provides clear upgrade paths and maintains backward compatibility: Version Maintenance:
Semantic Versioning (SemVer) - Major.Minor.Patch versioning
CHANGELOG.md - Documents all changes per Keep a Changelog format
GitHub Releases - Tagged releases with release notes
Backward Compatibility (Critical for Encryption Software):
Volume format versioning - Header contains version field (currently v2)
Older volumes remain readable - New software can decrypt volumes created with older versions
No data migration required - Encrypted files/volumes don't require re-encryption on upgrade
Upgrade Path Documentation:
Breaking changes documented in CHANGELOG under "Changed" or "Removed"
PR requirements include "Changelog entry for user-facing changes"
API changes documented in rustdoc
Current Support:
Version Status
1.x Supported (current)
< 1.0 Not supported (pre-release)
URL: https://github.com/dollspace-gay/Tesseract/blob/main/CHANGELOG.md

分析 2/2 ●

静的コード解析

Criterion [static_analysis_common_vulnerabilities]
適合

不適合

該当なし

?

プロジェクトは、選択された言語でこの基準を実装できる少なくとも1つのFLOSSツールがある場合、解析された言語または環境で共通の脆弱性を探すためのルールまたはアプローチを備えた少なくとも1つの静的解析ツールを使用しなければならなりません。 ^{[static_analysis_common_vulnerabilities]}
一般的な脆弱性を探すために特別に設計された静的解析ツールは、それらを見つける可能性が高いです。つまり、静的ツールを使用すると、通常は問題を見つけるのに役立ちますので、利用を提案しますが、「合格」レベルのバッジには要求しません。

Static analysis tools that check for vulnerabilities:

cargo audit: Scans dependencies against RustSec Advisory Database

cargo deny: Checks for security advisories, license issues, unmaintained crates

Clippy: Includes security-related lints (unsafe usage, panics, etc.)

Kani: Formal verification catches memory safety issues, panics, overflows

dudect: Timing vulnerability detection for cryptographic code

All run in CI to catch vulnerabilities before release.

動的コード分析

Criterion [dynamic_analysis_unsafe]
適合

不適合

該当なし

?

もしプロジェクトで作成されたソフトウェアにメモリ安全でない言語（CやC ++など）を使用して作成されたソフトウェアが含まれているならば、そのときには 少なくとも1つの動的ツール（たとえば、ファジーまたはウェブアプリケーションスキャナ）を、バッファの上書きなどのメモリの安全性の問題を検出するメカニズムと一緒にいつも使用します。プロジェクトがメモリ安全でない言語で書かれたソフトウェアを作成しない場合は、「該当なし」（N/A）を選択します。 ^{[dynamic_analysis_unsafe]}
メモリの安全性の問題を検出するメカニズムの例としては、アドレスサニタイザー（ASAN）（GCCおよびLLVMで利用可能）、 Memory Sanitizer 、および valgrind が含まれます。他に使用される可能性のあるツールには、スレッドサニタイザと定義されていない動作サニタイザを参照してください。広範なアサーションも機能します。

Tesseract Vault is written entirely in Rust, a memory-safe language.
The project does not include C or C++ code.

Rust's ownership system, borrow checker, and type system prevent
memory safety issues (buffer overflows, use-after-free, etc.) at
compile time. Any unsafe blocks are minimal and documented with
// SAFETY: comments.

Additionally, ClusterFuzzLite fuzzing is applied which would detect
any issues in the rare unsafe blocks.

This data is available under the Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0). This means that a Data Recipient may share the Data, with or without modifications, so long as the Data Recipient makes available the text of this agreement with the shared Data. Please credit dollspace.gay and the OpenSSF Best Practices badge contributors.

プロジェクトバッジ登録の所有者： dollspace.gay.
エントリの作成日時 2025-12-31 22:54:10 UTC、 最終更新日 2026-01-04 01:22:46 UTC 最後に2026-01-01 19:44:16 UTCにバッジ合格を達成しました。

Tesseract-Vault

基本的情報 17/17 ●

識別情報

前提要件

基本的なプロジェクト ウェブサイトのコンテンツ

プロジェクトの管理・運営

ドキュメンテーション

アクセシビリティと国際化

その他

変更管理 1/1 ●

以前のバージョン

報告 3/3 ●

バグ報告プロセス

脆弱性報告プロセス

品質 19/19 ●

コーディング標準

作業ビルドシステム

These work as expected with cargo

Cargo.toml - users can enable debug info in release

Enable debug info in release builds

Preserve symbols

Root Cargo.toml - workspace members are built in dependency order

インストールシステム

Clone the repository

Build the library

Build the CLI

Run tests

外部で維持管理されるコンポーネント

From Cargo.toml - computer-processable dependency list

... etc

1. Advisory detected by cargo-audit/cargo-deny (CI catches it)

2. Update the vulnerable dependency:

3. If breaking change needed, edit Cargo.toml:

old: vulnerable-crate = "1.0"

new: vulnerable-crate = "1.1"

4. Run tests, commit, done

自動テスト スイート

新機能テスト

警告フラグ

セキュリティ 13/13 ●

セキュリティに関する開発知識

優良な暗号手法を使用する

公開物の安全性

その他のセキュリティ上の課題

分析 2/2 ●

静的コード解析

動的コード分析

基本的なプロジェクトウェブサイトのコンテンツ

自動テストスイート