UltrafastSecp256k1

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

ソフトウェアに欠陥や脆弱性がないことを保証する手立てはありません。形式論的な証明ができたとしても、仕様や前提が間違っていると誤動作の可能性があります。また、プロジェクトが健全で、かつ機能的な開発コミュニティであり続けることを保証する手立てもありません。しかし、ベストプラクティスの採用は、プロジェクトの成果の向上に寄与する可能性があります。たとえば、いくつものベストプラクティスがリリース前の複数人によるレビューを定めていますが、それによりレビュー以外では発見困難な技術的脆弱性を見つけるのを助け、同時に異なる企業の開発者間の信頼を築き、さらに交流を続けることに対する意欲を生んでいます。バッジを獲得するには、すべてのMUSTおよびMUST NOT基準を満たさなければなりません。すべてのSHOULD基準も満たさなければなりませんが、正当な理由がある場合は満たさなくても構いません。そしてすべてのSUGGESTED基準も満たさなければなりませんが、満たさないとしても、少なくとも考慮することが望まれます。フィードバックは、 GitHubサイトのissueまたはpull requestとして提示されれば歓迎します。また、議論のためのメールリストも用意されています。

私たちは多言語で情報を提供していますが、翻訳版に矛盾や意味の不一致がある場合は、英語版を正式な記述とします。

これがあなたのプロジェクトなら、あなたのプロジェクトページにあなたのバッジステータスを表示してください！バッジステータスは次のようになります。

バッジステータスの埋め込み方法は次のとおりです。

バッジステータスを表示するには、あなたのプロジェクトのマークダウンファイルに以下を埋め込みます

[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/12011/badge)](https://www.bestpractices.dev/projects/12011)

あるいは、以下をHTMLに埋め込みます

<a href="https://www.bestpractices.dev/projects/12011"><img src="https://www.bestpractices.dev/projects/12011/badge"></a>

これらは

レベルの基準です。

または

レベル基準を表示することもできます。

Baseline Series: ベースラインレベル1 ベースラインレベル2 ベースラインレベル3

変更管理 1/1 ●

以前のバージョン

Criterion [maintenance_or_update]
適合

不適合

該当なし

?

プロジェクトは、最も頻繁に使用される古いバージョンの製品を維持するか、または新しいバージョンへのアップグレードを提供しなければなりません。アップグレード方法が困難な場合は、プロジェクトは、アップグレード方法（変更されたインターフェイスや、アップグレードに役立つ詳細な手順など）を記載しなければなりません。 ^{[maintenance_or_update]}

https://github.com/shrec/UltrafastSecp256k1/blob/main/CHANGELOG.md

分析 2/2 ●

静的コード解析

Criterion [static_analysis_common_vulnerabilities]
適合

不適合

該当なし

?

プロジェクトは、選択された言語でこの基準を実装できる少なくとも1つのFLOSSツールがある場合、解析された言語または環境で共通の脆弱性を探すためのルールまたはアプローチを備えた少なくとも1つの静的解析ツールを使用しなければならなりません。 ^{[static_analysis_common_vulnerabilities]}
一般的な脆弱性を探すために特別に設計された静的解析ツールは、それらを見つける可能性が高いです。つまり、静的ツールを使用すると、通常は問題を見つけるのに役立ちますので、利用を提案しますが、「合格」レベルのバッジには要求しません。

Justification: The project uses multiple FLOSS static analysis tools specifically designed to find common vulnerabilities in C++:

CodeQL — GitHub's semantic code analysis engine, runs on every push/PR via .github/workflows/codeql.yml, scanning for CWE-classified vulnerabilities (buffer overflows, injection, integer overflow, use-after-free, etc.).
Clang-Tidy (17) — Dedicated CI workflow (.github/workflows/clang-tidy.yml) with 30+ checks enabled, including bugprone-, cert-, clang-analyzer-, and cppcoreguidelines- rule sets that target common C++ implementation weaknesses.
SonarCloud — Runs on every push/PR via .github/workflows/sonarcloud.yml, providing security hotspot detection and vulnerability scanning.
OpenSSF Scorecard — Weekly analysis via .github/workflows/scorecard.yml, evaluating supply-chain security posture.
All four tools are FLOSS and specifically designed to detect common vulnerabilities in C/C++ codebases.

動的コード分析

Criterion [dynamic_analysis_unsafe]
適合

不適合

該当なし

?

もしプロジェクトで作成されたソフトウェアにメモリ安全でない言語（CやC ++など）を使用して作成されたソフトウェアが含まれているならば、そのときには 少なくとも1つの動的ツール（たとえば、ファジーまたはウェブアプリケーションスキャナ）を、バッファの上書きなどのメモリの安全性の問題を検出するメカニズムと一緒にいつも使用します。プロジェクトがメモリ安全でない言語で書かれたソフトウェアを作成しない場合は、「該当なし」（N/A）を選択します。 ^{[dynamic_analysis_unsafe]}
メモリの安全性の問題を検出するメカニズムの例としては、アドレスサニタイザー（ASAN）（GCCおよびLLVMで利用可能）、 Memory Sanitizer 、および valgrind が含まれます。他に使用される可能性のあるツールには、スレッドサニタイザと定義されていない動作サニタイザを参照してください。広範なアサーションも機能します。

URL: https://github.com/shrec/UltrafastSecp256k1/blob/main/.github/workflows/ci.yml

Justification: The project is written in C++ (memory-unsafe language) and routinely uses multiple dynamic analysis tools in CI to detect memory safety problems:

AddressSanitizer + UndefinedBehaviorSanitizer (ASan+UBSan) — Dedicated CI job runs on every push/PR with -fsanitize=address,undefined -fno-sanitize-recover=all -fno-omit-frame-pointer, detecting buffer overflows, use-after-free, stack overflow, and undefined behavior.
ThreadSanitizer (TSan) — Separate CI job detects data races and thread safety issues.
Valgrind memcheck — Weekly CI run detects memory leaks, invalid reads/writes, and uninitialized memory access.
libFuzzer — Continuous fuzz testing with random inputs to discover crashes and memory corruption.
All four tools are routinely and automatically executed as part of the project's CI pipeline, not just ad-hoc manual runs.

このデータは、Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0)のもとで利用可能です。これは、データ受領者が、データ受領者がこの契約のテキストを共有データとともに利用可能にする限り、変更の有無にかかわらずデータを共有できることを意味します。Vano ChkheidzeおよびOpenSSFベストプラクティスバッジのコントリビューターにクレジットを表示してください。

プロジェクトバッジ登録の所有者： Vano Chkheidze.
エントリの作成日時 2026-02-23 15:56:16 UTC、 最終更新日 2026-02-23 23:13:26 UTC 最後に2026-02-23 22:12:34 UTCにバッジ合格を達成しました。

UltrafastSecp256k1

基本的情報 17/17 ●

一般

前提要件

基本的なプロジェクトウェブサイトのコンテンツ

プロジェクトの管理・運営

ドキュメンテーション

アクセシビリティと国際化

その他

変更管理 1/1 ●

以前のバージョン

報告 3/3 ●

バグ報告プロセス

脆弱性報告プロセス

品質 19/19 ●

コーディング標準

作業ビルドシステム

インストールシステム

外部で維持管理されるコンポーネント

自動テストスイート

新機能テスト

警告フラグ

セキュリティ 13/13 ●

セキュリティに関する開発知識

優良な暗号手法を使用する

公開物の安全性

その他のセキュリティ上の課題

分析 2/2 ●

静的コード解析

動的コード分析

UltrafastSecp256k1

基本的情報 17/17 ●

一般

前提要件

基本的なプロジェクト ウェブサイトのコンテンツ

プロジェクトの管理・運営

ドキュメンテーション

アクセシビリティと国際化

その他

変更管理 1/1 ●

以前のバージョン

報告 3/3 ●

バグ報告プロセス

脆弱性報告プロセス

品質 19/19 ●

コーディング標準

作業ビルドシステム

インストールシステム

外部で維持管理されるコンポーネント

自動テスト スイート

新機能テスト

警告フラグ

セキュリティ 13/13 ●

セキュリティに関する開発知識

優良な暗号手法を使用する

公開物の安全性

その他のセキュリティ上の課題

分析 2/2 ●

静的コード解析

動的コード分析

基本的なプロジェクトウェブサイトのコンテンツ

自動テストスイート