ts-patch-mongoose

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

ソフトウェアに欠陥や脆弱性がないことを保証する手立てはありません。形式論的な証明ができたとしても、仕様や前提が間違っていると誤動作の可能性があります。また、プロジェクトが健全で、かつ機能的な開発コミュニティであり続けることを保証する手立てもありません。しかし、ベストプラクティスの採用は、プロジェクトの成果の向上に寄与する可能性があります。たとえば、いくつものベストプラクティスがリリース前の複数人によるレビューを定めていますが、それによりレビュー以外では発見困難な技術的脆弱性を見つけるのを助け、同時に異なる企業の開発者間の信頼を築き、さらに交流を続けることに対する意欲を生んでいます。バッジを獲得するには、すべてのMUSTおよびMUST NOT基準を満たさなければなりません。すべてのSHOULD基準も満たさなければなりませんが、正当な理由がある場合は満たさなくても構いません。そしてすべてのSUGGESTED基準も満たさなければなりませんが、満たさないとしても、少なくとも考慮することが望まれます。フィードバックは、 GitHubサイトのissueまたはpull requestとして提示されれば歓迎します。また、議論のためのメールリストも用意されています。

私たちは多言語で情報を提供していますが、翻訳版に矛盾や意味の不一致がある場合は、英語版を正式な記述とします。
これがあなたのプロジェクトである場合は、プロジェクトページにベースラインバッジステータスを表示してください!ベースラインバッジステータスは次のようになります: プロジェクト12473のベースラインバッジレベルはbaseline-1です ベースラインバッジを埋め込む方法は次のとおりです:
ベースラインバッジステータスを表示するには、マークダウンファイルに以下を埋め込みます:
[![OpenSSF Baseline](https://www.bestpractices.dev/projects/12473/baseline)](https://www.bestpractices.dev/projects/12473)
または、HTMLに以下を埋め込みます:
<a href="https://www.bestpractices.dev/projects/12473"><img src="https://www.bestpractices.dev/projects/12473/baseline"></a>


これらはベースラインレベル2の基準です。 これらの基準はベースラインバージョン v2025.10.10 のものであり、バージョン v2026.02.19 の更新された基準テキストが含まれています。バージョン v2026.02.19 で新たに追加された基準は「future」とラベル付けされており、2026-06-01 から適用が開始されます。その日までに「future」基準への回答を提供してください。

Baseline Series: ベースラインレベル1 ベースラインレベル2 ベースラインレベル3

        

 基本的情報

  • 一般

    他のプロジェクトが同じ名前を使用していないか注意してください。

    Patch history & events plugin for mongoose

    SPDXライセンスの表現形式を使用してください。 例:「Apache-2.0」、「BSD-2-Clause」、「BSD-3-Clause」、「GPL-2.0+」、「LGPL-3.0+」、「MIT」、「(BSD-2-Clause OR Ruby)」。一重引用符または二重引用符を含めないでください。
    複数の言語がある場合は、コンマを区切り(スペースを入れてもよい)としてリストし、使用頻度の高いものから順に並べます。使用言語が多くある場合は、少なくとも最初の3つの最も多く使われるものをリストアップしてください。言語がない場合(例:ドキュメントだけ、またはテスト専用のプロジェクトの場合)、1文字 " - "を使用します。言語ごとにある大文字・小文字の慣用を踏襲してください(例:「JavaScript」)。
    Common Platform Enumeration(CPE)は、情報技術(IT)システム、ソフトウェア、およびパッケージのための構造化された命名体系です。脆弱性を報告する際に、多くのシステムやデータベースで使用されています。

 管理策 18/19

  • 管理策


    バッジには十分です!

    CI/CDタスクが権限を指定せずに実行される場合、CI/CDシステムはパイプラインで付与される最低限の権限をタスクの権限としてデフォルトで設定しなければなりません。 [OSPS-AC-04.01]
    プロジェクトの設定を構成して、デフォルトで新しいパイプラインに利用可能な最低限の権限を割り当て、特定のタスクに必要な場合にのみ追加の権限を付与します。

    All CI/CD workflows declare permissions: contents: read at the top level, setting the default to the lowest available permissions. Individual jobs override only as needed (e.g., id-token: write for OIDC provenance in publish workflow): https://github.com/ilovepixelart/ts-patch-mongoose/blob/main/.github/workflows/pr-check.yaml


    バッジには十分です!

    公式リリースが作成される場合、そのリリースには一意のバージョン識別子を割り当てなければなりません。 [OSPS-BR-02.01]
    プロジェクトによって生成される各リリースに、一貫した命名規則または番号付けスキームに従って一意のバージョン識別子を割り当てます。例には、SemVer、CalVer、またはgit commit idが含まれます。

    Each of the 70 releases has a unique version number (npm semver). Latest: v3.1.2 [version_unique]


    バッジには十分です!

    公式リリースが作成される場合、そのリリースには機能的およびセキュリティの変更の記述的なログを含めなければなりません。 [OSPS-BR-04.01]
    すべてのリリースに記述的な変更ログを含めるようにしてください。変更ログが人間が読めるものであり、コミットメッセージだけでなく、セキュリティへの影響や異なるユースケースとの関連性についての説明などの詳細を含めることが推奨されます。機械可読性を確保するために、「## Changelog」などのmarkdownヘッダーの下にコンテンツを配置してください。

    Non-trivial release notes file in repository: https://github.com/ilovepixelart/ts-patch-mongoose/blob/main/CHANGELOG.md. [release_notes]


    バッジには十分です!

    ビルドとリリースのパイプラインが依存関係を取り込む場合、利用可能な場合は標準化されたツールを使用しなければなりません。 [OSPS-BR-05.01]
    エコシステム用の一般的なツール(パッケージマネージャーや依存関係管理ツールなど)を使用して、ビルド時に依存関係を取り込みます。これには、必要な依存関係を指定するための依存関係ファイル、ロックファイル、またはマニフェストを使用し、ビルドシステムによって取り込まれることが含まれます。

    The CI/CD pipeline uses npm ci with a committed package-lock.json to install exact dependency versions. Dependencies are fetched from the npm registry at build time: https://github.com/ilovepixelart/ts-patch-mongoose/blob/main/.github/workflows/pr-check.yaml


    バッジには十分です!

    公式リリースが作成される場合、そのリリースには署名するか、各アセットの暗号ハッシュを含む署名付きマニフェストで説明しなければなりません。 [OSPS-BR-06.01]
    ビルド時にすべてのリリースされたソフトウェア アセットを、GPGまたはPGP署名、Sigstore署名、SLSAプロベナンス、またはSLSA VSAなどの暗号署名または証明で署名します。署名付きマニフェストまたはメタデータファイルに各アセットの暗号ハッシュを含めます。

    Releases are published with npm provenance attestations (--provenance flag) and SLSA v1.0 provenance files (*.intoto.jsonl) via slsa-framework/slsa-github-generator. See SECURITY.md: https://github.com/ilovepixelart/ts-patch-mongoose/blob/main/SECURITY.md


    バッジには十分です!

    プロジェクトがリリースを行った場合、プロジェクトのドキュメントには、プロジェクトが依存関係をどのように選択、取得、および追跡するかについての説明を含めなければなりません。 [OSPS-DO-06.01]
    この情報をソースコードリポジトリ、プロジェクトウェブサイト、またはその他のチャネルなどの公開表示可能なリソース上で、プロジェクトの技術および設計ドキュメントと一緒に公開することが推奨されます。

    SECURITY.md documents the dependency strategy: zero runtime dependencies, mongoose declared as a peer dependency. CONTRIBUTING.md shows npm ci for installing from the lock file: https://github.com/ilovepixelart/ts-patch-mongoose/blob/main/SECURITY.md


    バッジには十分です!

    (今後追加されるバッジ基準) プロジェクトのドキュメントには、必要なライブラリ、フレームワーク、SDK、および依存関係を含む、ソフトウェアのビルド方法に関する手順が含まれていなければなりません。 [OSPS-DO-07.01]
    この情報は、CONTRIBUTING.mdや他の開発者タスクドキュメントなど、プロジェクトの貢献者ドキュメントと一緒に公開することが推奨されます。これはまた、Makefileターゲットや他の自動化スクリプトを使用して文書化することもできます。

    CONTRIBUTING.md includes full build instructions: git clone, npm install, npm run build. Required tools (Node.js >=20, npm) are documented alongside the TypeScript compile step: https://github.com/ilovepixelart/ts-patch-mongoose/blob/main/CONTRIBUTING.md


    バッジには十分です!

    有効な間、プロジェクトのドキュメントには、機密性の高いリソースへのアクセス権を持つプロジェクトメンバーのリストを含めなければなりません。 [OSPS-GV-01.01]
    プロジェクトのソースコードリポジトリ内のmembers.md、governance.md、maintainers.md、または同様のファイルなどのアーティファクトを通じて、プロジェクト参加者とその役割を文書化します。これは、メンテナのリストに名前またはアカウントハンドルを含めるだけの簡単なものでも、プロジェクトのガバナンスに応じてより複雑なものでも構いません。

    // The project has a single maintainer (ilovepixelart). This is documented in SECURITY.md which names the maintainer as the security contact, and the GitHub repository itself shows the single owner. No separate members file exists but the maintainer is publicly identifiable.


    バッジには不十分です。

    有効な間、プロジェクトのドキュメントには、プロジェクトのメンバーの役割と責任の説明を含めなければなりません。 [OSPS-GV-01.02]
    プロジェクトのソースコードリポジトリ内のmembers.md、governance.md、maintainers.md、または同様のファイルなどのアーティファクトを通じて、プロジェクト参加者とその役割を文書化します。

    // The project is a single-maintainer personal project. There is no formal governance document or roles file (e.g., MAINTAINERS.md, GOVERNANCE.md). The SECURITY.md notes the project is maintained by one person. A formal roles description document has not been created.


    バッジには十分です!

    有効な間、プロジェクトのドキュメントには、受け入れ可能な貢献の要件を含むコード貢献者向けのガイドを含めなければなりません。 [OSPS-GV-03.02]
    プロジェクトドキュメントのCONTRIBUTING.mdまたはCONTRIBUTING/の内容を拡張して、コーディング標準、テスト要件、コードコントリビューターのための提出ガイドラインを含む、受け入れ可能な貢献の要件を概説します。このガイドがコントリビューターと承認者の両方にとって信頼できる情報源であることが推奨されます。

    CONTRIBUTING.md documents the contribution process, code style, and testing requirements: https://github.com/ilovepixelart/ts-patch-mongoose/blob/main/CONTRIBUTING.md [contribution_requirements]


    バッジには十分です!

    アクティブな間、バージョン管理システムは、すべてのコードコントリビューターが、すべてのコミットで関連する貢献を行うことが法的に認められていると主張することを要求する必要があります。 [OSPS-LE-01.01]
    プロジェクトのリポジトリにDCOを含め、コードコントリビューターが、すべてのコミットで関連する貢献を行うことが法的に認められていると主張することを要求します。ステータスチェックを使用して、主張が行われたことを確認します。CLAもこの要件を満たします。GitHubなどの一部のバージョン管理システムでは、これがプラットフォームの利用規約に含まれている場合があります。

    GitHub's Terms of Service require all contributors to assert they have the rights to submit code. Contributions are made via pull requests subject to GitHub's ToS which serves as the legal authorization assertion: https://docs.github.com/en/site-policy/github-terms/github-terms-of-service


    バッジには十分です!

    プライマリブランチにコミットが行われる場合、コミットの自動ステータスチェックは、合格するか手動でバイパスされる必要があります。 [OSPS-QA-03.01]
    プロジェクトのバージョン管理システムを設定して、すべての自動ステータスチェックが合格するか、コミットがプライマリブランチにマージされる前に手動確認を要求するようにします。オプションのステータスチェックは、承認者がバイパスしたくなるような合格または不合格の要件として設定しないことが推奨されます。

    GitHub Actions CI (pr-check.yaml) runs tests on every push and pull request: https://github.com/ilovepixelart/ts-patch-mongoose/blob/main/.github/workflows/pr-check.yaml [test_continuous_integration]


    バッジには十分です!

    コミットが受け入れられる前に、プロジェクトのCI/CDパイプラインは、変更が期待を満たすことを確認するために少なくとも1つの自動テストスイートを実行する必要があります。 [OSPS-QA-06.01]
    自動テストは、プライマリブランチへのすべてのマージの前に実行される必要があります。テストスイートはCI/CDパイプラインで実行され、結果はすべてのコントリビューターに表示される必要があります。テストスイートは一貫した環境で実行され、コントリビューターがローカルでテストを実行できるような方法で実行される必要があります。テストスイートの例には、ユニットテスト、統合テスト、エンドツーエンドテストが含まれます。

    GitHub Actions CI (pr-check.yaml) runs tests on every push and pull request: https://github.com/ilovepixelart/ts-patch-mongoose/blob/main/.github/workflows/pr-check.yaml [test_continuous_integration]


    バッジには十分です!

    プロジェクトがリリースを行った場合、プロジェクトドキュメントは、システム内のすべてのアクションとアクターを示す設計ドキュメントを含む必要があります。 [OSPS-SA-01.01]
    プロジェクトドキュメントに、アクションとアクターを説明する設計を含めます。アクターには、システム内の別のセグメントに影響を与えることができるサブシステムまたはエンティティが含まれます。これが新機能や破壊的変更のために更新されることを確認してください。

    The README documents the full architecture: the patchHistoryPlugin hooks into mongoose model lifecycle events (create, update, delete), writes patch history documents to a separate MongoDB collection, and emits events via patchEventEmitter. All actors and data flows are described: https://github.com/ilovepixelart/ts-patch-mongoose#readme


    バッジには十分です!

    プロジェクトがリリースを行った場合、プロジェクトドキュメントは、リリースされたソフトウェアアセットのすべての外部ソフトウェアインターフェースの説明を含む必要があります。 [OSPS-SA-02.01]
    リリースされたソフトウェアアセットのすべてのソフトウェアインターフェース(API)を文書化し、ユーザーがソフトウェアとどのように対話できるか、どのようなデータが期待または生成されるかを説明します。これが新機能や破壊的変更のために更新されることを確認してください。

    The README documents the full plugin API with TypeScript types. TypeScript declaration files (.d.cts/.d.mts) are included in the published package: https://github.com/ilovepixelart/ts-patch-mongoose#readme [documentation_interface]


    バッジには十分です!

    プロジェクトがリリースを行った場合、プロジェクトは、ソフトウェア内で発生する可能性のある最も可能性が高く、影響の大きい潜在的なセキュリティ問題を理解するためにセキュリティ評価を実行する必要があります。 [OSPS-SA-03.01]
    セキュリティ評価を実行することで、プロジェクトメンバーと下流の消費者の両方に、プロジェクトがソフトウェア内で発生する可能性のある問題を理解していることを知らせます。どのような脅威が実現する可能性があるかを理解することは、プロジェクトがリスクを管理および対処するのに役立ちます。この情報は、プロジェクトのセキュリティの能力と実践を示すために、下流の消費者にとって有用です。これが新機能や破壊的変更のために更新されることを確認してください。

    SECURITY.md contains a detailed security assessment including: scope definition (what is/isn't in scope), supply chain analysis (zero runtime deps, provenance attestations), and OpenSSF Scorecard findings with rationale. Threat model covers data integrity, information disclosure, and denial of service: https://github.com/ilovepixelart/ts-patch-mongoose/blob/main/SECURITY.md


    バッジには十分です!

    アクティブな間、プロジェクトドキュメントは、明確な対応期間を持つ協調的脆弱性開示(CVD)のポリシーを含む必要があります。 [OSPS-VM-01.01]
    ディレクトリのルートにSECURITY.mdファイルを作成し、プロジェクトの協調的脆弱性開示のポリシーを概説します。脆弱性を報告する方法を含めます。プロジェクトが報告された問題にどのように対応および対処するかについての期待を設定します。

    SECURITY.md documents the vulnerability reporting process: https://github.com/ilovepixelart/ts-patch-mongoose/blob/main/SECURITY.md [vulnerability_report_process]


    バッジには十分です!

    アクティブな間、プロジェクトドキュメントは、プロジェクト内のセキュリティ連絡先に直接脆弱性を非公開で報告する手段を提供する必要があります。 [OSPS-VM-03.01]
    セキュリティ研究者がプロジェクトに非公開で脆弱性を報告する手段を提供します。これは、専用の電子メールアドレス、ウェブフォーム、VCS専用ツール、セキュリティ連絡先の電子メールアドレス、またはその他の方法である可能性があります。

    SECURITY.md instructs reporters to use GitHub's private vulnerability reporting form (not public issues): https://github.com/ilovepixelart/ts-patch-mongoose/blob/main/SECURITY.md [vulnerability_report_private]


    バッジには十分です!

    アクティブな間、プロジェクトドキュメントは、発見された脆弱性に関するデータを公開する必要があります。 [OSPS-VM-04.01]
    CVEエントリ、ブログ投稿、またはその他のメディアなど、予測可能な公開チャネルで既知の脆弱性に関する情報を提供します。可能な限り、この情報には、影響を受けるバージョン、消費者が脆弱かどうかを判断する方法、および緩和または修復の手順が含まれる必要があります。

    CHANGELOG.md documents changes per release including any security-related fixes: https://github.com/ilovepixelart/ts-patch-mongoose/blob/main/CHANGELOG.md [release_notes_vulns]



このデータは、Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0)のもとで利用可能です。これは、データ受領者が、データ受領者がこの契約のテキストを共有データとともに利用可能にする限り、変更の有無にかかわらずデータを共有できることを意味します。AlexおよびOpenSSFベストプラクティスバッジのコントリビューターにクレジットを表示してください。

プロジェクト バッジ登録の所有者: Alex.
エントリの作成日時 2026-04-12 13:40:29 UTC、 最終更新日 2026-04-12 14:09:34 UTC 最後に2026-04-12 13:51:17 UTCにバッジ合格を達成しました。