compose-lint

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

ソフトウェアに欠陥や脆弱性がないことを保証する手立てはありません。形式論的な証明ができたとしても、仕様や前提が間違っていると誤動作の可能性があります。また、プロジェクトが健全で、かつ機能的な開発コミュニティであり続けることを保証する手立てもありません。しかし、ベストプラクティスの採用は、プロジェクトの成果の向上に寄与する可能性があります。たとえば、いくつものベストプラクティスがリリース前の複数人によるレビューを定めていますが、それによりレビュー以外では発見困難な技術的脆弱性を見つけるのを助け、同時に異なる企業の開発者間の信頼を築き、さらに交流を続けることに対する意欲を生んでいます。バッジを獲得するには、すべてのMUSTおよびMUST NOT基準を満たさなければなりません。すべてのSHOULD基準も満たさなければなりませんが、正当な理由がある場合は満たさなくても構いません。そしてすべてのSUGGESTED基準も満たさなければなりませんが、満たさないとしても、少なくとも考慮することが望まれます。フィードバックは、 GitHubサイトのissueまたはpull requestとして提示されれば歓迎します。また、議論のためのメールリストも用意されています。

私たちは多言語で情報を提供していますが、翻訳版に矛盾や意味の不一致がある場合は、英語版を正式な記述とします。

これがあなたのプロジェクトなら、あなたのプロジェクトページにあなたのバッジステータスを表示してください！バッジステータスは次のようになります。

バッジステータスの埋め込み方法は次のとおりです。

バッジステータスを表示するには、あなたのプロジェクトのマークダウンファイルに以下を埋め込みます

[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/12472/badge)](https://www.bestpractices.dev/projects/12472)

あるいは、以下をHTMLに埋め込みます

<a href="https://www.bestpractices.dev/projects/12472"><img src="https://www.bestpractices.dev/projects/12472/badge"></a>

これらは

レベルの基準です。

または

レベル基準を表示することもできます。

Baseline Series: ベースラインレベル1 ベースラインレベル2 ベースラインレベル3

変更管理 1/1 ●

以前のバージョン

Criterion [maintenance_or_update]
適合

不適合

該当なし

?

プロジェクトは、最も頻繁に使用される古いバージョンの製品を維持するか、または新しいバージョンへのアップグレードを提供しなければなりません。アップグレード方法が困難な場合は、プロジェクトは、アップグレード方法（変更されたインターフェイスや、アップグレードに役立つ詳細な手順など）を記載しなければなりません。 ^{[maintenance_or_update]}

URL: https://github.com/tmatens/compose-lint/blob/main/.github/SECURITY.md#supported-versions

Justification: .github/SECURITY.md §"Supported Versions" states: "Only the latest minor release receives security fixes." Pre-1.0 SemVer rules are documented in docs/RELEASING.md (PATCH = bug fixes only; MINOR = additive changes plus new rules at non-CRITICAL severity; MAJOR = breaking changes). The upgrade path is pip install --upgrade compose-lint (PyPI) or pulling the new tag from composelint/compose-lint (Docker Hub). Every release ships a CHANGELOG entry calling out anything that changes findings (rule additions, severity adjustments, parser fixes), so users can plan upgrades against a stable contract.

分析 2/2 ●

静的コード解析

Criterion [static_analysis_common_vulnerabilities]
適合

不適合

該当なし

?

プロジェクトは、選択された言語でこの基準を実装できる少なくとも1つのFLOSSツールがある場合、解析された言語または環境で共通の脆弱性を探すためのルールまたはアプローチを備えた少なくとも1つの静的解析ツールを使用しなければならなりません。 ^{[static_analysis_common_vulnerabilities]}
一般的な脆弱性を探すために特別に設計された静的解析ツールは、それらを見つける可能性が高いです。つまり、静的ツールを使用すると、通常は問題を見つけるのに役立ちますので、利用を提案しますが、「合格」レベルのバッジには要求しません。

Bandit and CodeQL both implement vulnerability-pattern rules. Bandit scans for the Python-specific common-weakness patterns (B-series: shell injection, insecure deserialization, weak crypto calls, hardcoded secrets, etc.). CodeQL's default query suite covers OWASP/CWE categories (injection, path traversal, SSRF, XSS).

動的コード分析

Criterion [dynamic_analysis_unsafe]
適合

不適合

該当なし

?

もしプロジェクトで作成されたソフトウェアにメモリ安全でない言語（CやC ++など）を使用して作成されたソフトウェアが含まれているならば、そのときには 少なくとも1つの動的ツール（たとえば、ファジーまたはウェブアプリケーションスキャナ）を、バッファの上書きなどのメモリの安全性の問題を検出するメカニズムと一緒にいつも使用します。プロジェクトがメモリ安全でない言語で書かれたソフトウェアを作成しない場合は、「該当なし」（N/A）を選択します。 ^{[dynamic_analysis_unsafe]}
メモリの安全性の問題を検出するメカニズムの例としては、アドレスサニタイザー（ASAN）（GCCおよびLLVMで利用可能）、 Memory Sanitizer 、および valgrind が含まれます。他に使用される可能性のあるツールには、スレッドサニタイザと定義されていない動作サニタイザを参照してください。広範なアサーションも機能します。

compose-lint is written in pure Python (a memory-safe language) with PyYAML as the sole runtime dependency. No C/C++/unsafe-Rust code is produced or shipped.

このデータは、Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0)のもとで利用可能です。これは、データ受領者が、データ受領者がこの契約のテキストを共有データとともに利用可能にする限り、変更の有無にかかわらずデータを共有できることを意味します。Todd MatensおよびOpenSSFベストプラクティスバッジのコントリビューターにクレジットを表示してください。

プロジェクトバッジ登録の所有者： Todd Matens.
エントリの作成日時 2026-04-12 08:08:52 UTC、 最終更新日 2026-05-03 00:49:57 UTC 最後に2026-04-19 05:15:06 UTCにバッジ合格を達成しました。

compose-lint

基本的情報 17/17 ●

一般

前提要件

基本的なプロジェクトウェブサイトのコンテンツ

プロジェクトの管理・運営

ドキュメンテーション

アクセシビリティと国際化

その他

変更管理 1/1 ●

以前のバージョン

報告 3/3 ●

バグ報告プロセス

脆弱性報告プロセス

品質 19/19 ●

コーディング標準

作業ビルドシステム

インストールシステム

外部で維持管理されるコンポーネント

自動テストスイート

新機能テスト

警告フラグ

セキュリティ 13/13 ●

セキュリティに関する開発知識

優良な暗号手法を使用する

公開物の安全性

その他のセキュリティ上の課題

分析 2/2 ●

静的コード解析

動的コード分析

compose-lint

基本的情報 17/17 ●

一般

前提要件

基本的なプロジェクト ウェブサイトのコンテンツ

プロジェクトの管理・運営

ドキュメンテーション

アクセシビリティと国際化

その他

変更管理 1/1 ●

以前のバージョン

報告 3/3 ●

バグ報告プロセス

脆弱性報告プロセス

品質 19/19 ●

コーディング標準

作業ビルドシステム

インストールシステム

外部で維持管理されるコンポーネント

自動テスト スイート

新機能テスト

警告フラグ

セキュリティ 13/13 ●

セキュリティに関する開発知識

優良な暗号手法を使用する

公開物の安全性

その他のセキュリティ上の課題

分析 2/2 ●

静的コード解析

動的コード分析

基本的なプロジェクトウェブサイトのコンテンツ

自動テストスイート