go-derive

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

ソフトウェアに欠陥や脆弱性がないことを保証する手立てはありません。形式論的な証明ができたとしても、仕様や前提が間違っていると誤動作の可能性があります。また、プロジェクトが健全で、かつ機能的な開発コミュニティであり続けることを保証する手立てもありません。しかし、ベストプラクティスの採用は、プロジェクトの成果の向上に寄与する可能性があります。たとえば、いくつものベストプラクティスがリリース前の複数人によるレビューを定めていますが、それによりレビュー以外では発見困難な技術的脆弱性を見つけるのを助け、同時に異なる企業の開発者間の信頼を築き、さらに交流を続けることに対する意欲を生んでいます。バッジを獲得するには、すべてのMUSTおよびMUST NOT基準を満たさなければなりません。すべてのSHOULD基準も満たさなければなりませんが、正当な理由がある場合は満たさなくても構いません。そしてすべてのSUGGESTED基準も満たさなければなりませんが、満たさないとしても、少なくとも考慮することが望まれます。フィードバックは、 GitHubサイトのissueまたはpull requestとして提示されれば歓迎します。また、議論のためのメールリストも用意されています。

私たちは多言語で情報を提供していますが、翻訳版に矛盾や意味の不一致がある場合は、英語版を正式な記述とします。
これがあなたのプロジェクトなら、あなたのプロジェクトページにあなたのバッジステータスを表示してください!バッジステータスは次のようになります。 プロジェクト 12775 のバッジ レベルは passing です バッジステータスの埋め込み方法は次のとおりです。
バッジステータスを表示するには、あなたのプロジェクトのマークダウンファイルに以下を埋め込みます
[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/12775/badge)](https://www.bestpractices.dev/projects/12775)
あるいは、以下をHTMLに埋め込みます
<a href="https://www.bestpractices.dev/projects/12775"><img src="https://www.bestpractices.dev/projects/12775/badge"></a>


これらは合格レベルの基準です。シルバーまたはゴールドレベル基準を表示することもできます。

Baseline Series: ベースラインレベル1 ベースラインレベル2 ベースラインレベル3

        

 基本的情報 13/13

  • 一般

    他のプロジェクトが同じ名前を使用していないか注意してください。

    Go SDK for the Derive exchange — REST + WebSocket, EIP-712 signing, typed errors, full JSON-RPC coverage.

    SPDXライセンスの表現形式を使用してください。 例:「Apache-2.0」、「BSD-2-Clause」、「BSD-3-Clause」、「GPL-2.0+」、「LGPL-3.0+」、「MIT」、「(BSD-2-Clause OR Ruby)」。一重引用符または二重引用符を含めないでください。
    複数の言語がある場合は、コンマを区切り(スペースを入れてもよい)としてリストし、使用頻度の高いものから順に並べます。使用言語が多くある場合は、少なくとも最初の3つの最も多く使われるものをリストアップしてください。言語がない場合(例:ドキュメントだけ、またはテスト専用のプロジェクトの場合)、1文字 " - "を使用します。言語ごとにある大文字・小文字の慣用を踏襲してください(例:「JavaScript」)。
    Common Platform Enumeration(CPE)は、情報技術(IT)システム、ソフトウェア、およびパッケージのための構造化された命名体系です。脆弱性を報告する際に、多くのシステムやデータベースで使用されています。

    go-derive is a Go SDK for the Derive (formerly Lyra) crypto-derivatives exchange.

    The project is currently solo-maintained and pre-1.0.
    First release: v0.1.0 (2026-05-05)
    Current version: v0.2.7

    Security features:

    • CycloneDX and SPDX SBOMs for every release
    • Cosign keyless OIDC signatures
    • SLSA Level 3 provenance

    CI and security tooling:

    • CodeQL
    • gosec
    • Semgrep
    • Trivy
    • Codacy
    • osv-scanner
    • govulncheck
    • gitleaks
    • TruffleHog
    • OpenSSF Scorecard

    Repository protections:

    • PR-only workflow
    • Linear history
    • Signed squash merges
    • 14 required status checks
    • GitHub Rulesets enforcement

    Release process:

    • Fully automated with release-please
    • Conventional Commits based

  • 基本的なプロジェクト ウェブサイトのコンテンツ


    バッジには十分です!

    プロジェクトのウェブサイトは、ソフトウェアが何をするのか(何の問題を解決するのか)を簡潔に記述しなければなりません。 [description_good]
    これは、潜在的なユーザーが理解できる言語でなければなりません(例えば、それは最小限の専門用語を使用します)。

    go-derive is a Go SDK for the Derive exchange (formerly Lyra), a layer-2 derivatives venue supporting perps, options, and spot markets.

    Supported features:

    • REST public and private APIs
    • WebSocket public and private APIs
    • Subscription streams
    • EIP-712 order signing
    • Session key support

    The SDK provides programmatic access to Derive market data and trading APIs from Go, including built-in EIP-712 signing so users do not need to implement the signing flow themselves.


    バッジには十分です!

    プロジェクトのウェブサイトは、取得方法、フィードバックの提供方法(バグ報告や拡張機能)、ソフトウェアへの貢献方法に関する情報を提供しなければなりません。 [interact]

    Install:

    • go get github.com/amiwrpremium/go-derive
    • README includes a working Quick Start example

    Feedback:

    • Structured GitHub issue templates for bug reports and feature requests
    • Contact links configured through .github/ISSUE_TEMPLATE/config.yml

    Contributing:

    • CONTRIBUTING.md documents:
      • Conventional Commits requirements
      • commit type → semantic version bump mapping
      • branch protection rules
      • automated release-please workflow

    The README Contributing section and "PRs Welcome" badge both link to CONTRIBUTING.md.


    バッジには十分です!

    貢献する方法に関する情報は、貢献プロセス(たとえばプル リクエストが使用されか、など)を説明する必要があります。 (URLが必要です) [contribution]
    別段の記載がない限り、GitHub上のプロジェクトは、(GitHubが提供する)課題管理とプルリクエストを使用することを想定します。この情報は不足しているかもしれません。すなわち、プロジェクトがプルリクエストと課題追跡ツールを使うことか、メーリングリストへの投稿を言及している。(どちら?)

    Non-trivial contribution file in repository: https://github.com/amiwrpremium/go-derive/blob/master/CONTRIBUTING.md.


    バッジには十分です!

    貢献する方法に関する情報は、貢献を受け入れるための要件(たとえば、必要なコーディング標準への参照)を含むべきです。 (URLが必要です) [contribution_requirements]

    https://github.com/amiwrpremium/go-derive/blob/master/CONTRIBUTING.md


  • FLOSSライセンス


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアは、FLOSSとしてリリースされなければなりません。 [floss_license]
    FLOSSは、オープンソース定義またはフリーソフトウェア定義を満たす方法でリリースされたソフトウェアです。そのようなライセンスの例としては、CC0MIT2項型BSD 3項型BSD Apache 2.0 Less GNU General Public License(LGPL)、および GNU General Public License(GPL)を参照してください。私たちの目的のためには、これはライセンスが以下のものでなければならないことを意味します: ソフトウェアは他の方法でライセンスされているかもしれません(たとえば、「GPLv2またはプロプライエタリ」は許容されます)。

    The MIT license is approved by the Open Source Initiative (OSI).


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアに必要なライセンスは、オープンソース・イニシアチブ(OSI)によって承認されていることが推奨されています。 [floss_license_osi]
    OSIは、厳格な承認プロセスを使用して、どのライセンスがOSSであるかを判断します。

    The MIT license is approved by the Open Source Initiative (OSI).


    バッジには十分です!

    プロジェクトは、結果のライセンスをソースリポジトリの標準的な場所に投稿しなければなりません。 (URLが必要です) [license_location]
    たとえば、LICENSEまたはCOPYINGという名前の最上位ファイルです。ライセンスファイル名の後に ".txt" や ".md" などの拡張子を付けることができます。別の規則は、ライセンスファイルを含むLICENSESという名前のディレクトリを持つことです。これらのファイルは通常、 REUSE仕様で説明されているように、SPDXライセンス識別子とそれに続く適切なファイル拡張子として名前が付けられます。この基準は、ソースリポジトリの要件にすぎないことに注意してください。ソースコード(実行可能ファイル、パッケージ、コンテナなど)から何かを生成するときに、ライセンスファイルを含める必要はありません。たとえば、Comprehensive R Archive Network(CRAN)のRパッケージを生成するときは、標準のCRANプラクティスに従います。ライセンスが標準ライセンスの場合は、標準の短いライセンス仕様を使用して(テキストのコピーをさらにインストールしないようにするため)、リストします。 .Rbuildignoreなどの除外ファイル内のLICENSEファイル。同様に、Debianパッケージを作成する場合、著作権ファイルに /usr/share/common-licenses のライセンス テキストへのリンクを配置し、作成したパッケージからライセンス ファイルを除外できます(たとえば、dh_auto_installを呼び出した後にファイルを削除します )。可能な場合は、生成された形式で機械可読ライセンス情報を含めることをお勧めします。

    Non-trivial license location file in repository: https://github.com/amiwrpremium/go-derive/blob/master/LICENSE.


  • ドキュメンテーション


    バッジには十分です!

    プロジェクトは、プロジェクトによって作成されたソフトウェアに関する基本的なドキュメンテーションを提供しなければなりません。 [documentation_basics]
    このドキュメントは、インストール方法、起動方法、使用方法(可能であれば例示したチュートリアル)、および、そのソフトウェアの適切なトピックであれば安全に使用する方法(たとえば何をするべきで、何をすべきでないか)を記述し、メディア(たとえば、テキストやビデオなど)に収められている必要があります。セキュリティの文書は必ずしも長文である必要はありません。プロジェクトは、ドキュメンテーションとしてプロジェクト以外の素材へのハイパーテキストリンクを使用してもよいです。プロジェクトがソフトウェアを作成しない場合は、「該当なし」(N / A)を選択します。

    Some documentation basics file contents found.


    バッジには十分です!

    プロジェクトは、プロジェクトによって作成されたソフトウェアの外部インタフェース(入力と出力の両方)を記述する参照ドキュメントを提供しなければなりません。 [documentation_interface]
    外部インターフェイスのドキュメントは、エンドユーザーまたは開発者に、その使用方法を説明します。ドキュメントには、ソフトウェアにアプリケーション プログラム インターフェイス(API)が含まれている場合、アプリケーション プログラム インターフェイスが含まれます。ライブラリの場合、呼び出すことができる主要なクラス/型とメソッド/関数を文書化します。ウェブ アプリケーションの場合、URLインタフェース(多くの場合、RESTインタフェース)を定義します。コマンドラインインターフェイスの場合は、サポートするパラメータとオプションを文書化します。多くの場合、ドキュメントのほとんどを自動生成すると、ソフトウェアが変更されたときにドキュメントがソフトウェアと同期したままなので、最も良い方法ですが、これは必須ではありません。プロジェクトは、ドキュメンテーションとしてプロジェクト以外の素材へのハイパーテキストリンクを使用してもよいです。ドキュメンテーションは自動的に生成されるかもしれません(実際的に、しばしばこれを行う最良の方法です)。 RESTインタフェースのドキュメントは、Swagger / OpenAPIを使用して生成することができます。コード インタフェースのドキュメントは、 JSDoc (JavaScript)、 ESDoc (JavaScript)、pydoc(Python)、devtools (R)、pkgdown (R)、およびDoxygen(多数)のいずれかです。実装コードにコメントがあるだけでは、この基準を満たすには不十分です。すべてのソースコードを読むことなく情報を見るための簡単な方法が必要です。プロジェクトがソフトウェアを作成しない場合は、「該当なし」(N/A)を選択します。

    Reference documentation is published on pkg.go.dev and linked from the README's Go Reference badge.

    Documentation characteristics:

    • generated from godoc comments
    • covers all public interfaces
    • every public package includes a multi-paragraph overview
    • every exported type, function, method, struct field, and constant is documented
    • more than 500 documentation comments across the root package and pkg/

    API documentation:

    • method inputs documented at the parameter level
    • outputs documented through return types
    • request and response structures linked through pkg/types

    Examples:

    • runnable examples under:
      • /examples/auth
      • /examples/derive
      • /examples/rest
      • /examples/ws
    • Example_* functions render directly on pkg.go.dev

  • その他


    バッジには十分です!

    プロジェクトサイト(ウェブサイト、リポジトリ、およびダウンロードURL)は、TLSを使用したHTTPSをサポートしなければなりません。 [sites_https]
    これには、プロジェクトのホームページのURLとバージョン管理リポジトリのURLが「http:」ではなく「https:」で始まる必要があります。Let's Encryptからフリーの証明書を入手できます。プロジェクトは、(例えば) GitHubページ GitLabページ、またはSourceForgeプロジェクトページを使ってこの基準を実装してもよいです。HTTPをサポートしている場合は、HTTPトラフィックをHTTPSにリダイレクトすることを強くお勧めします。

    Given only https: URLs.


    バッジには十分です!

    プロジェクトは、議論(提案された変更や問題を含む)のための1つ以上の検索可能なメカニズムを持たなければならず、メッセージやトピックがURLでアドレス指定され、新しい人々がディスカッションのいくつかに参加できるようにしなければならず、クライアント側でプロプライエタリなソフトウェアのインストールを必要としないようにします。 [discussion]
    受け入れ可能なメカニズムの例には、アーカイブされたメーリングリスト、GitHubのイシューとプルリクエストの議論、Bugzilla、Mantis、Tracなどがあります。非同期ディスカッション メカニズム(IRCなど)は、これらの基準を満たしていれば許容されます。 URLアドレス可能なアーカイブ機構があることを確認してください。独自のJavaScriptは、推奨されませんが、許可されています。

    GitHub supports discussions on issues and pull requests.


    バッジには十分です!

    プロジェクトは英語で文書を提供し、英語でコードに関するバグ報告とコメントを受け入れることができるべきです。 [english]
    現在、英語はコンピュータ技術のリンガ フランカです。英語をサポートすることで、世界中のさまざまな潜在的な開発者とレビュアーの数を増やします。コア開発者の主要言語が英語でなくても、プロジェクトはこの基準を満たすことができます。

    All project-facing documentation is written in English, including:

    • README.md
    • CONTRIBUTING.md
    • SECURITY.md
    • CODE_OF_CONDUCT.md
    • documentation under docs/
    • GitHub issue templates
    • godoc and source-code comments

    Community interaction:

    • bug reports handled through GitHub Issues
    • technical discussions conducted in English
    • maintainer communication is in English

    バッジには十分です!

    プロジェクトはメンテナンスされている必要があります。 [maintained]
    少なくとも、プロジェクトは重大な問題と脆弱性の報告に対応するように努める必要があります。バッジを積極的に追求しているプロジェクトは、おそらくメンテナンスされているでしょう。すべてのプロジェクトや人のリソースには限りがあり、提案された変更をプロジェクトが拒否しなければならないこともあるため、リソースに限りがあることや、提案が拒否されることが、メンテナンスされていないプロジェクトを示すわけではありません。

    プロジェクトが今後メンテナンスされなくなることがわかった場合は、この基準を「不適合(Unmet)」に設定し、適切なメカニズムを使用して、メンテナンスされないことを人々に示す必要があります。たとえば、READMEの最初の見出しに「DEPRECATED」(将来のサポートが保証されないので使用すべきでない)を使用し、ホームページの先頭近くに「DEPRECATED」を追加し、コード リポジトリのプロジェクトの説明の先頭に「DEPRECATED」を追加し、そのREADMEおよび/またはホームページにno-maintenance-intendedバッジを追加し、すべてのパッケージ リポジトリでdeprecated(非推奨)としてマークしたり(例: npm deprecate )、コード リポジトリのマーキングシステムを使用してアーカイブします(例:GitHubの"archive" 設定、GitLabの"archived" マーキング、 Gerritの "readonly" ステータス、またはSourceForgeの"abandoned" プロジェクト ステータス)。詳細な説明については、こちらを参照してください。

    Project maintenance is active and continuous.

    Current activity indicators (as of 2026-05-07):

    • 29 merged pull requests on master
    • 7 releases shipped within ~48 hours (v0.2.0v0.2.7)
    • CI runs on every push and pull request
    • daily OpenSSF Scorecard scans
    • automated dependency updates via Renovate
    • automated releases via release-please

    Operational tooling:

    • renovate.json manages dependency update automation
    • release-please manages versioning and release generation
    • README includes a live "Last commit" badge showing repository freshness

 変更管理 9/9

  • 公開されたバージョン管理ソースリポジトリ


    バッジには十分です!

    プロジェクトには、公開され、URLを持つ、バージョン管理のソース リポジトリがなければなりません。 [repo_public]
    URLはプロジェクトのURLと同じであってもよいです。プロジェクトは、変更が公開されていない間に(例えば、公開前に脆弱性を修正するため)、特定のケースでプライベート(非公開)ブランチを使用することができます。

    Repository on GitHub, which provides public git repositories with URLs.


    バッジには十分です!

    プロジェクトのソース リポジトリは、どのような変更が行われたのか、誰が変更を行ったのか、いつ変更が行われたのかを追跡しなければなりません。 [repo_track]

    Repository on GitHub, which uses git. git can track the changes, who made them, and when they were made.


    バッジには十分です!

    共同レビューを可能にするために、プロジェクトのソースリポジトリには、リリース間のレビューのための中間バージョンが含まれなければなりません。最終リリースのみを含めることはできません。 [repo_interim]
    プロジェクトは、公開ソース リポジトリから特定の暫定版を省略することを選択することができます。(たとえば、特定の非公開のセキュリティ脆弱性を修正するものは、公開されないか、または、合法的に投稿できないか、最終リリースに入らないです)

    The master branch contains the active development history, not only release tags.

    Development workflow:

    • all changes land through pull requests
    • pull requests are squash-merged
    • merge commits follow Conventional Commits formatting

    Repository activity:

    • 29 merged pull requests visible in GitHub history
    • releases are preceded by multiple development PRs and commits

    Example:

    • release v0.2.5 was preceded by PRs:
      • #23
      • #25
      • #26
    • each merged independently onto master

    Review traceability:

    • PR descriptions preserved
    • review discussions preserved
    • file diffs preserved
    • CI execution history preserved

    バッジには十分です!

    プロジェクトのソース リポジトリに共通の分散バージョン管理ソフトウェア(gitなど)を使用することを推奨します。 [repo_distributed]
    Gitが特別に必要とされているわけでなく、プロジェクトでは、集中型バージョン管理ソフトウェア(例:subversion)を正当とする証拠を持って使用できます。

    Repository on GitHub, which uses git. git is distributed.


  • 一意的なバージョン番号


    バッジには十分です!

    プロジェクトの結果には、ユーザーが使用することを意図されたリリースごとに固有のバージョン識別子が必要です。 [version_unique]
    これはコミットID(git commit idやmercurial changeset idなど)やバージョン番号(YYYYMMDDのようなセマンティックバージョニングや日付ベースのスキームを使用するバージョン番号を含む)など、さまざまな方法で対応できます。

    Each release uses a unique Semantic Version identifier.

    Versioning workflow:

    • release-please calculates versions from Conventional Commits
    • versions are synchronized across:
      • git tags (e.g. v0.2.7)
      • the Version constant in derive.go
      • .github/.release-please-manifest.json

    Release integrity:

    • repository ruleset release-tag-protection (id 15981700) prevents:
      • tag reuse
      • tag rewriting

    Release history is published through the GitHub Releases page.


    バッジには十分です!

    リリースには、Semantic Versioning (SemVer)またはCalendar Versioning (CalVer)のバージョン番号形式を使用することが推奨されます。CalVerを使用する場合は、マイクロレベル値を含めることが推奨されます。 [version_semver]
    プロジェクトは一般的に、エコシステムで使用されている通常のフォーマットなど、ユーザーが期待しているフォーマットを優先するべきです。多くのエコシステムではSemVerが好まれており、一般的にSemVerはアプリケーションプログラマインターフェース(API)やソフトウェア開発キット(SDK)に好まれています。CalVerは、規模が大きく、独自に開発した依存関係が異常に多いプロジェクトや、スコープが常に変化するプロジェクト、時間的な制約があるプロジェクトで使用される傾向があります。CalVerを使用する際には、マイクロレベルの値を含めることが推奨されます。マイクロレベルを含めることで、必要になった場合にはいつでも同時にメンテナンスされるブランチをサポートできるからです。git commit ID や mercurial changeset ID など、バージョンを一意に識別できるものであれば、他のバージョン番号形式をバージョン番号として使用することができます。しかし、(git commit ID のような)いくつかの代替形式は、リリースの識別子として問題を引き起こす可能性があります。すべての受信者が最新バージョンを実行しているだけの場合 (たとえば、継続的な配信を介して常に更新されている単一のWebサイトまたはインターネットサービスのコード)には、バージョン ID の形式はソフトウェアのリリースを識別する上で重要ではないかもしれません。

    バッジには十分です!

    プロジェクトがバージョン管理システム内の各リリースを特定することが推奨されています。たとえば、gitを使用しているユーザーがgitタグを使用して各リリースを特定することが推奨されています。 [version_tags]

    Each release is identified by a git tag using the format:

    • vX.Y.Z
    • example: v0.2.7

    Tag management:

    • tags are created automatically by release-please
    • tags are generated when the auto-generated release PR is merged

    Tag protection:

    • repository ruleset release-tag-protection (id 15981700) prevents:
      • tag reuse
      • tag deletion
      • tag rewriting

    The complete release tag history is available through the GitHub Tags page.


  • リリースノート


    バッジには十分です!

    プロジェクトは、各リリースにおいて、ユーザーがアップグレードすべきかどうか、また、アップグレードの影響を判断できるよう、そのリリースの主要な変更の要約を説明したリリースノートを提供しなければなりません(MUST)。リリースノートは、バージョン管理ログの生の出力であってはなりません(例えば、 "git log"コマンドの結果はリリースノートではない)。プロジェクトの成果物が複数の場所で再利用されることを意図していないプロジェクト(単独のウェブサイトやサービスのためのソフトウェアなど)で、かつ、継続的・断続的な配布を行う場合は、「該当なし」を選択することができます。 (URLが必要です) [release_notes]
    リリースノートは様々な方法で実装できます(MAY)。多くのプロジェクトは、 "NEWS"、 "CHANGELOG"、または "ChangeLog"という名前のファイルでそれらを提供し、 ".txt"、 ".md"、 ".html"などの拡張子を付けることもあります。歴史的には、 "change log"という言葉はすべての変更のログを意味していましたが、本基準を満たすために必要なものは、人間が読める要約です。リリースノートは代わりに、 GitHubリリースのワークフローなどのバージョン管理システムのメカニズムによって提供してもよい(MAY)。

    Non-trivial release notes file in repository: https://github.com/amiwrpremium/go-derive/blob/master/CHANGELOG.md.


    バッジには十分です!

    リリースノートでは、このリリースで修正された、リリースの作成時にすでにCVE割り当てなどがあった、公に知られているランタイムの脆弱性をすべて特定する必要があります。 ユーザーが通常、ソフトウェアを実際に更新できない場合(たとえば、カーネルの更新によくあることです)、この基準は該当なし(N/A)としてマークされる場合があります。 この基準はプロジェクトの結果にのみ適用され、依存関係には適用されません。 リリースノートがない場合、または公に知られている脆弱性がない場合は、[N/A]を選択します。 [release_notes_vulns]
    この基準は、特定の更新によって一般に知られている脆弱性が修正されるかどうかをユーザーが判断するのに役立ち、ユーザーが情報に基づいて更新について決定できるようにします。ユーザーが通常、コンピューター上でソフトウェア自体を実際に更新することはできず、代わりに1つ以上の仲介者に依存して更新を実行する必要がある場合(カーネルお​​よびカーネルと絡み合っている下位レベルのソフトウェアの場合によくあることです)、この追加情報はそれらのユーザーには役立たないため、プロジェクトは「該当なし」(N/A)を選択する場合があります。同様に、すべての受信者が最新バージョンのみを実行している場合(継続的デリバリーによって絶えず更新される単一のWebサイトまたはインターネットサービスのコードなど)、プロジェクトはN/Aを選択できます。この基準はプロジェクトの結果にのみ適用され、依存関係には適用されません。プロジェクトのすべての推移的な依存関係の脆弱性を一覧表示することは、依存関係が増加および変化するにつれて扱いにくくなるため、不要です。依存関係を調べて追跡するツールがよりスケーラブルな方法でこれを実行できます。

    No publicly known runtime vulnerabilities have been disclosed for go-derive.

    Current security status across releases v0.1.0v0.2.7:

    • no assigned CVEs
    • no GitHub Security Advisories
    • no reported runtime vulnerabilities

    Security scanning performed in CI includes:

    • govulncheck
    • osv-scanner
    • Trivy
    • gosec
    • Semgrep
    • CodeQL

    Release notes:

    • CHANGELOG.md is generated automatically by release-please
    • changelog entries are derived from Conventional Commits
    • any future security fixes would appear under "Bug Fixes" and include the relevant CVE reference when applicable

 報告 8/8

  • バグ報告プロセス


    バッジには十分です!

    プロジェクトは、ユーザーが不具合報告を送信するプロセスを提供しなければなりません(たとえば、課題トラッカーやメーリングリストを使用します)。 (URLが必要です) [report_process]

    Non-trivial SECURITY[.md] file found file in repository: https://github.com/amiwrpremium/go-derive/blob/master/SECURITY.md. [osps_do_02_01]


    バッジには十分です!

    プロジェクトは、個々の課題を追跡するための課題トラッカーを使用するべきです。 [report_tracker]

    GitHub Issues at https://github.com/amiwrpremium/go-derive/issues, with structured templates in .github/ISSUE_TEMPLATE/ (bug_report, feature_request, config).


    バッジには十分です!

    このプロジェクトは、過去2〜12か月間に提出された多数のバグ報告の受領を認めなければなりません。応答に修正を含める必要はありません。 [report_responses]

    The project is 2 days old.
    First release: v0.1.0 on 2026-05-05.

    Issue tracker status:

    • 2 total issues
    • both are bot-generated

    Issues:

    • #5 Renovate config notice
      • closed by PR #1
    • #7 Renovate Dependency Dashboard
      • intentionally kept open

    No user-submitted bug reports have been filed so far.

    The maintainer is the sole responder and handles issue triage through GitHub notifications.


    バッジには十分です!

    プロジェクトは、直近2〜12ヶ月(2ヶ月を含む)に増強要求の多数(> 50%)に対応すべきです。 [enhancement_responses]
    応答は、「いいえ」や、そのメリットについての議論であってもよいです。目標は、単にプロジェクトがまだ生きていることを示している、いくつかの要求に対する応答があることです。この基準のために、プロジェクトは偽のリクエスト(スパマーや自動システムなど)をカウントする必要はありません。プロジェクトで機能強化が行われていない場合は、「満足されない」(unmet)を選択し、この状況をユーザーに明確にするURLを含めてください。プロジェクトが強化要求の数によって圧倒される傾向がある場合は、「満足されない」(unmet)を選択して説明してください。

    No user-submitted enhancement requests have been filed.

    Project status:

    • first release: v0.1.0 on 2026-05-05
    • only 2 issues exist
    • both are Renovate-generated meta-issues

    Issues:

    • #5 closed
    • #7 Renovate Dependency Dashboard kept open by design

    The "majority responded" requirement is satisfied vacuously.


    バッジには十分です!

    プロジェクトは、後で検索するために、レポートとレスポンスのアーカイブを公開する必要があります。 (URLが必要です) [report_archive]

    All issues (open + closed, including full comment threads) are archived and searchable at:
    https://github.com/amiwrpremium/go-derive/issues?q=is%3Aissue

    GitHub provides:

    • full-text search across titles, bodies, and comments
    • filtering by:
      • author
      • label
      • state
      • date

  • 脆弱性報告プロセス


    バッジには十分です!

    プロジェクトは、脆弱性を報告するプロセスをプロジェクト サイトに公開しなければなりません。 (URLが必要です) [vulnerability_report_process]
    たとえば、https:// PROJECTSITE / securityの明示的に指定されたメール アドレスで、これはしばしばsecurity@example.orgの形式です。これはバグ報告プロセスと同じかもしれません。脆弱性レポートは常に公開される可能性がありますが、多くのプロジェクトでは、プライベート脆弱性を報告するメカニズムがあります。

    SECURITY.md:
    https://github.com/amiwrpremium/go-derive/blob/master/SECURITY.md

    Security reporting policy:

    The policy documents:

    • required report fields
    • optional report fields
    • response SLAs by severity

    Response targets:

    • Critical/High:
      • acknowledgment within 72 hours
      • triage within 7 days
    • Medium/Low:
      • acknowledgment within 5 business days
      • triage on a best-effort basis

    バッジには十分です!

    プライベート脆弱性報告がサポートされている場合、プロジェクトは、プライベートに保持された方法で情報を送信する方法を含んでいなくてはなりません。 (URLが必要です) [vulnerability_report_private]
    例としては、HTTPS(TLS)を使用してWeb上に提出されたプライベート不具合報告や、OpenPGPを使用して暗号化された電子メールがあります。脆弱性報告が常に公開されている場合(プライベート脆弱性報告は存在しないため)、「該当なし」(N / A)を選択します。

    SECURITY.md §Reporting a vulnerability:
    https://github.com/amiwrpremium/go-derive/blob/master/SECURITY.md#reporting-a-vulnerability

    Private Vulnerability Reporting:
    https://github.com/amiwrpremium/go-derive/security/advisories/new

    Policy:

    • reporters must not open public issues
    • vulnerabilities must be submitted through GitHub Private Vulnerability Reporting

    Privacy guarantees:

    • reports are visible only to repository maintainers and the reporter
    • reports are not indexed in:
      • public issues
      • repository timeline
      • GitHub search

    バッジには十分です!

    過去6ヶ月間に受け取った脆弱性報告に対するプロジェクトの初期応答時間は、14日以下でなければなりません。 [vulnerability_report_response]
    過去6か月間に脆弱性が報告されていない場合は、「該当なし」(N/A)を選択します。

    No vulnerability reports have been received.

    Project status:

    • first release: v0.1.0 on 2026-05-05
    • GitHub Security Advisories currently empty

    The 14-day initial-response requirement is satisfied vacuously.

    SECURITY.md response targets:

    • Critical/High:
      • acknowledgment within 72 hours
    • Medium/Low:
      • acknowledgment within 5 business days

    Both response targets are below the 14-day requirement.


 品質 13/13

  • 作業ビルドシステム


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアを利用するためにビルドが必要な場合、プロジェクトは、ソース コードからソフトウェアを自動的にリビルドできる作業ビルド システムを提供しなければなりません。 [build]
    ビルドシステムは、ソフトウェアをリビルドするのに必要なアクション(およびその順序)を決定し、それらのステップを実行します。たとえば、ビルドシステムは、ソースコードをコンパイルするためにコンパイラを呼び出すことができます。実行可能ファイルがソースコードから生成される場合、ビルドシステムは、プロジェクトのソースコードを変更でき、その変更を含む更新された実行ファイルを生成できなければなりません。プロジェクトによって生成されたソフトウェアが外部ライブラリに依存する場合、ビルドシステムはそれらの外部ライブラリをビルドする必要はありません。ソースコードが変更されても、ソフトウェアを使用するためにビルドする必要がない場合、「該当なし」(N/A)を選択します。

    Non-trivial build file in repository: https://github.com/amiwrpremium/go-derive/blob/master/Makefile.


    バッジには十分です!

    ソフトウエアをビルドするために、一般的なツールを使用することをお勧めします。 [build_common_tools]
    たとえば、Maven、Ant、cmake、autotools、make、rake (Ruby)、 devtools (R)などです。

    Non-trivial build file in repository: https://github.com/amiwrpremium/go-derive/blob/master/Makefile.


    バッジには十分です!

    プロジェクトは、FLOSSツールだけを使用してビルドができるようにするべきです。 [build_floss_tools]

    Build command:
    go build ./...

    Required tooling:

    • Go toolchain
    • BSD-3-Clause
    • FLOSS

    Dependency licensing:

    No proprietary build tools, IDEs, compilers, SDKs, or licensing servers are required.

    CI linters are also FLOSS:

    • gofmt
    • goimports
    • go vet
    • golangci-lint
    • govulncheck
    • staticcheck

  • 自動テスト スイート


    バッジには十分です!

    プロジェクトは、FLOSSとして公開されている自動テストスイートを少なくとも1つ使用する必要があります(このテストスイートは、別個のFLOSSプロジェクトとして維持される場合があります)。 プロジェクトは、テストスイートの実行方法を明確に示すか文書化する必要があります(たとえば、継続的インテグレーション(CI)スクリプトを介して、またはBUILD.md、README.md、CONTRIBUTING.mdなどのファイルの文書を介して)。 [test]
    プロジェクトでは、複数の自動化されたテストスイートを使用することができます(たとえば、迅速に実行するもの、より完全であるが特別な装置が必要なもの)。Selenium (ウェブブラウザの自動化)、Junit (JVM, Java)、RUnit (R)、testthat (R) など、多くのテストフレームワークやテスト支援システムが利用可能です。

    Testing framework:

    • Go standard testing package
    • BSD-3-Clause
    • included with the Go toolchain

    Test command:
    go test -race -count=1 ./...

    Documented in:

    CI execution:

    • runs on every push and pull request
    • test matrix:
      • ubuntu-latest
      • macos-latest
      • windows-latest
    • Go versions:
      • 1.25
      • 1.26

    Integration tests:

    • located under test/
    • protected behind an integration build tag
    • dispatched manually through:
      .github/workflows/integration.yml

    バッジには十分です!

    テスト スイートは、その言語の標準的な方法で呼び出すことができるべきです。 [test_invocation]
    たとえば、「make check」、「mvn test」、「rake test」(Ruby)などです。

    Tests are executed with:

    • go test ./...
    • go test -race -count=1 ./...

    The project uses:

    • standard _test.go test files
    • Go's built-in testing package

    No custom test runner or test harness is required.


    バッジには十分です!

    テスト スイートは、コードブランチ、入力フィールド、および機能のほとんど(または理想的にはすべて)をカバーすることが推奨されています。 [test_most]

    Coverage:

    • 90.2% statement coverage
    • measured with:
      go test -race -coverprofile -coverpkg=...

    Test suite size:

    • 110 _test.go files
    • 7,369 LOC of tests
    • 8,378 LOC of source

    Coverage reporting:

    Coverage regressions are flagged on pull requests.


    バッジには十分です!

    プロジェクトは、継続的インテグレーション(新しいコードまたは変更されたコードが頻繁に中央コードリポジトリに統合され、その結果に対して自動テストが実行される)を実装することを推奨されています。 [test_continuous_integration]

    Continuous integration uses GitHub Actions.

    CI workflow:

    • .github/workflows/ci.yml
    • runs on every push and pull request

    CI tasks:

    • gofmt
    • go vet
    • go test -race -coverprofile
    • govulncheck
    • go build

    Test matrix:

    • ubuntu
    • macos
    • windows
    • Go 1.25
    • Go 1.26

    Branch protection:

    • merging to master requires 14 status checks
    • enforced by:
      master-branch-protection ruleset (15981309)

    Workflow coverage:

    • tests
    • linting
    • security scanning
    • supply-chain verification
    • release verification

    Security tooling:

    • CodeQL
    • gosec
    • Semgrep
    • Trivy
    • Codacy
    • osv-scanner
    • gitleaks
    • TruffleHog

    Additional checks:

    • pin-check
    • license-check
    • govulncheck

  • 新機能テスト


    バッジには十分です!

    プロジェクトは、プロジェクトで作成されたソフトウェアに主要な新機能が追加されたときに、その機能のテストを自動化されたテスト スイートに追加する必要があるという一般的な方針(正式でも、正式でなくても構いません)を持っていなければなりません。 [test_policy]
    開発者はテストを自動テスト スイートに追加して、新しい機能を追加する必要があるというポリシーが、口頭でも(文書化されていなくても)、存在する限り、「満たしている」を選択してください。

    CONTRIBUTING.md §Coverage:
    https://github.com/amiwrpremium/go-derive/blob/master/CONTRIBUTING.md#coverage

    Policy:
    "Patches that meaningfully drop coverage will get flagged on the PR."

    Enforcement:

    • Codecov posts diff-coverage comments
    • Codacy runs:
      • Codacy Coverage Variation
      • Codacy Diff Coverage

    Checks run on every pull request and mechanically surface new functionality lacking tests.


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアの最新の大きな変更で、テストを追加するための test_policy が守られているという証拠がプロジェクトに存在しなければなりません。 [tests_are_added]
    主要な機能は、通常、リリースノートに記載されます。完璧は必要ないですが、プロジェクトによって生成されたソフトウェアに新しい主要機能が追加されたときに、自動テスト スイートに実際にテストが追加されているという証拠となります。

    Evidence:

    • 90.2% coverage existed at v0.1.0 and remained stable across 7 releases
    • tests were committed alongside source from the beginning

    Examples:

    • PR #10 removed Trade.Realized and its dedicated test in the same commit
    • PR #17 refactored internal/retry/backoff.go to use crypto/rand
      • existing backoff_test.go validated the new implementation without modification

    PR enforcement:

    • every PR includes:
      • Codecov delta checks
      • Codacy Diff Coverage checks
    • untested new code is flagged automatically

    バッジには十分です!

    テストを追加するこのポリシー(test_policyを参照)を変更提案に関する手順で文書化することを推奨します。 [tests_documented_added]
    しかし、実際にテストが追加されている限り、非公式の規則でも許容されます。

    Test expectations are documented in CONTRIBUTING.md through the coverage policy and CI enforcement rules, but there is no explicit standalone "tests must accompany changes" instruction in the change-proposal workflow.

    Adding an explicit requirement for contributors to include or update tests alongside behavioral changes is therefore suggested.


  • 警告フラグ


    バッジには十分です!

    プロジェクトは、選択した言語でこの基準を実装することができる少なくとも1つのFLOSSツールがあれば、1つまたは複数のコンパイラ警告フラグ、「安全」言語モードを使用可能にするか、分離 「リンター」ツールを使用してコード品質エラーまたは共通の単純なミスを検索しなければなりません。 [warnings]
    コンパイラ警告フラグの例には、gcc / clang "-Wall"があります。 「安全」言語モードの例には、JavaScript「use strict」とperl5の「use warnings」があります。分離「リンター」ツールは、ソースコードを調べてコード品質のエラーや一般的な単純なミスを探すツールです。これらは、通常、ソースコードまたはビルド命令内で有効になります。

    The repository uses multiple FLOSS Go linters and analysis tools:

    • golangci-lint
    • staticcheck
    • gosec
    • go vet
    • gofmt
    • goimports

    Workflows:

    • .github/workflows/lint.yml
    • .github/workflows/gosec.yml
    • .github/workflows/ci.yml

    Git hooks:

    • Lefthook runs:
      • gofmt
      • goimports
      • go vet
      • golangci-lint run --new-from-rev=HEAD
    • documented in CONTRIBUTING.md §Git hooks

    Policy:

    • lint warnings fail CI
    • required status checks block merges on lint failures

    バッジには十分です!

    プロジェクトは警告を出さなければならない。 [warnings_fixed]
    これらは、警告基準の実装によって識別される警告です。プロジェクトは、警告を修正するか、ソースコード内で警告を誤検出としてマークするべきです。理想的には警告がないことがいいですが、プロジェクトはある程度の警告(通常は100行あたり1警告未満、または全体で10警告未満)を受け入れることができます。

    Linter warnings are treated as build failures.

    Enforced tooling:

    • golangci-lint
    • staticcheck
    • gosec
    • go vet
    • gofmt

    Policy:

    • any finding exits non-zero
    • all are required status checks on the master ruleset
    • PRs cannot merge with open lint warnings

    Example:

    • PR #17 triggered gosec G404 on math/rand/v2
    • the code was rewritten to use crypto/rand
    • the warning was fixed, not suppressed

    Code-scanning alerts from:

    • gosec
    • Semgrep
    • CodeQL
    • Trivy

    are actively triaged and documented in:
    docs/known-tool-issues.md


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアにある警告に、実際的な場合には、最大限に厳格になることを推奨されています。 [warnings_strict]
    一部の警告は、あるプロジェクトでは効果的に有効にすることはできません。必要なのは、プロジェクトが可能な限り警告フラグを有効にするように努力しており、エラーが早期に検出されるという証拠です。

    All linters run in strict/default mode with no rule exclusions.

    Configuration:

    • golangci-lint uses upstream defaults
    • staticcheck uses upstream defaults
    • gosec scans the full repository and uploads SARIF
    • gofmt and goimports fail on unformatted files
    • go vet runs without exclusions

    Suppression policy:

    • zero in-source:
      • nolint
      • nosec
      • noqa
        suppressions

    Project policy:

    • issues are fixed at source instead of suppressed
    • unavoidable tool false positives remain visible and are documented in:
      docs/known-tool-issues.md

    Documented examples:

    • Codacy deadcode-on-generics parser bug
    • remark-lint resolver false positives

 セキュリティ 16/16

  • セキュリティに関する開発知識


    バッジには十分です!

    プロジェクトには、安全なソフトウェアを設計する方法を知っている少なくとも1人の主要な開発者が必要です。 (正確な要件については、「詳細」を参照してください。) [know_secure_design]
    これには、Saltzer and Schroeder の8つの原則を含む以下の設計原則を理解する必要があります。
    • メカニズムの経済性(たとえば、スイーピング シンプリフィケーションを採用して、メカニズムを実際的に単純化し小さくする)
    • フェイルセーフのデフォルト(アクセスの決定はデフォルトで拒否されるべきであり、プロジェクトのインストールはデフォルトで安全でなければならない)
    • 完全なメディエーション(制限されたすべてのアクセスは権限がチェックされ、バイパスされない)
    • オープンな設計(セキュリティメカニズムは攻撃者の設計に対する無知に依存するべきではなく、 簡単に保護ができて変更ができる鍵やパスワードのような情報に依存すべきです。
    • 特権の分離(理想的には、重要なオブジェクトへのアクセスは複数の条件に依存すべきで、1つの保護システムを破ることで完全なアクセスが可能にならないようにします。たとえば、パスワードとハードウェア トークンを必要とする多因子認証は単因子認証より強いです。
    • 最低限の権限(プロセスは最低限の権限で動作する必要がある)
    • 最低限の共通メカニズム(設計は、複数のユーザに共通のメカニズムや全てのユーザーに依存するメカニズムを最小限に抑えるべきです。)
    • 心理学的受容性(ヒューマンインタフェースは、使いやすく設計されていなければならない - 「驚きが最小限になる」という設計が助けになる)
    • 限られた攻撃面(攻撃面 - 攻撃者がデータを入力または抽出しようとする部分 - を制限する必要があります)
    • ホワイト リストで入力を検証します(入力は通常、この検証はブラックリスト(既知の不良値をリストする)ではなく、ホワイトリスト(既知の値のみを受け入れる)を使用する必要があります。
    プロジェクトの「主要な開発者」とは、プロジェクトのコードベースに精通していて、容易に変更を加えることができ、プロジェクトの他のほとんどの参加者によって認められている人です。主要な開発者は、通常、過去1年間に(コード、文書、または質問に回答して)多数の貢献を行います。ある開発者が、プロジェクトを開始している(3年以上プロジェクトから離れていない)、プライベート脆弱性報告チャネル(存在する場合)に関する情報を受け取る、プロジェクトを代表してコミットを受け入れる、最終リリースする、などを行う時主要な開発者とみなすことができます。開発者が1人だけの場合、その人物が主要開発者です。より安全なソフトウェアを開発し、設計について議論する方法を理解するのに役立つ多くの本やコースが利用可能です。 たとえば、 Secure Software Development Fundamentals コースは、3つのコースの無料セットです。 より安全なソフトウェアを開発する方法を説明しています。

    Self-attested security evidence in the repository includes:

    • correct EIP-712 typed-data signing in pkg/auth
    • separate EIP-191 and EIP-712 signing flows
    • session-key delegation to avoid keeping owner keys in process memory

    Security improvements:

    • cryptographic randomness via crypto/rand
      • PR #17
    • explicit validation on every workflow_dispatch input
      • PR #18

    Supply-chain hardening:

    • CycloneDX + SPDX SBOMs
    • cosign keyless signatures
    • SLSA Level 3 provenance
    • SHA-pinned GitHub Actions enforced by:
      .github/workflows/pin-check.yml

    CI hardening:

    • step-security/harden-runner on every CI job

    Security process:

    • private vulnerability reporting documented in SECURITY.md
    • severity-based response SLAs

    Defence-in-depth:

    • 9 SAST/secret/dependency scanners
    • daily OpenSSF Scorecard scans

    バッジには十分です!

    プロジェクトの主要開発者の少なくとも1人は、この種のソフトウェアの脆弱性につながる一般的な種類のエラーを知っていなければならず、それぞれを対策または緩和する少なくとも1つの方法を知っていなければなりません。 [know_common_errors]
    例(ソフトウェアの種類によって異なります)には、SQLインジェクション、OSインジェクション、従来のバッファオーバーフロー、クロスサイトスクリプティング、認証の欠落、承認の欠落などがあります。一般的に使用されるリストについては、 CWE/SANSトップ25またはOWASPトップ10を参照してください。より安全なソフトウェアを開発する方法を理解し、脆弱性につながる一般的な実装エラーについて説明するのに役立つ多くの書籍やコースが用意されています。たとえば、 Secure Software Development Fundamentalsコースは、より安全なソフトウェアを開発する方法を説明する3つのコースの無料セットです(受講は無料です。追加料金を払うと、学習したことを証明する証明書を入手できます)。

    Self-attested security mitigations in the repository include:

    • weak randomness mitigation:

      • crypto/rand

    • integer narrowing protection:

      • explicit & 0xFFFF mask in pkg/auth/nonce.go

    • auth-bypass prevention:

      • separate EIP-191 and EIP-712 signing flows
      • session-key delegation keeps owner keys off-host

    • input injection protection:

      • regex validation for workflow_dispatch.inputs
      • implemented in PR #18

    • race-condition detection:

      • go test -race on every CI build

    • secret-leak detection:

      • gitleaks
      • TruffleHog
      • GitGuardian

    • dependency vulnerability scanning:

      • govulncheck
      • osv-scanner
      • Trivy
      • Renovate

    • supply-chain hardening:

      • SHA-pinned GitHub Actions
      • cosign-signed SBOMs
      • SLSA Level 3 provenance

    • static analysis and bug detection:

      • CodeQL
      • gosec
      • Semgrep
      • Codacy
      • golangci-lint
      • staticcheck

  • 優良な暗号手法を使用する

    一部のソフトウェアは暗号化メカニズムを使用する必要がないことに注意してください。あなたのプロジェクトが作成するソフトウェアが、(1) 暗号化機能を含む、アクティブ化する、または有効化し、(2) 米国(US)から米国外または米国市民以外にリリースされる可能性がある場合は、法的に義務付けられた追加手順の実行を要求される可能性があります。通常、これにはメールの送信が含まれます。詳細については、 Understanding Open Source Technology & US Export Controls「オープンソース技術と米国の輸出管理について」)の暗号化のセクションを参照してください。

    バッジには十分です!

    プロジェクトによって作成されたソフトウェアは、デフォルトで、一般に公開され、専門家によってレビューされている暗号プロトコルとアルゴリズムを使用しなければなりません。(暗号プロトコルとアルゴリズムが使用される場合) [crypto_published]
    ソフトウェアによっては暗号機能を直接使用する必要がないため、これらの暗号基準は常に適用されるわけではありません。

    All cryptographic operations use publicly-published, expert-reviewed primitives.

    Cryptographic standards and primitives:

    Underlying cryptography:

    • ECDSA on secp256k1
    • keccak-256 hashing
    • OS randomness via Go crypto/rand
    • TLS via Go crypto/tls
      • TLS 1.2 / 1.3
      • RFC 5246 / RFC 8446

    No custom cryptographic primitives are implemented.


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアがアプリケーションまたはライブラリであり、主な目的が暗号の実装でない場合、暗号機能を実装するために特別に設計されたソフトウェアを呼び出すだけにするべきです。自分用に(暗号機能を)再実装するべきではありません。 [crypto_call]

    go-derive's primary purpose is exchange access, not cryptography.

    Cryptographic operations are delegated to established upstream libraries:

    • github.com/ethereum/go-ethereum/crypto

      • secp256k1 ECDSA
      • keccak-256 hashing

    • signer/core/apitypes

      • EIP-712 typed-data hashing

    • common

      • EIP-55 address checksums

    • accounts/abi

      • ABI encoding

    • Go crypto/rand

      • randomness

    • Go crypto/tls

      • transport security

    No cryptographic primitives are re-implemented in the repository.
    pkg/auth only assembles inputs and calls upstream libraries.


    バッジには十分です!

    暗号に依存するプロジェクトによって作成されるソフトウェアのすべての機能は、FLOSSを使用して実装可能でなければなりません。 [crypto_floss]
    オープン ソース イニシアチブによるオープン スタンダード要件を参照して下さい。

    All cryptographic dependencies are FLOSS.

    Dependencies:

    • Go stdlib crypto/*

      • BSD-3-Clause

    • github.com/ethereum/go-ethereum/{crypto,common,accounts/abi,signer/core/apitypes}

      • LGPL-3.0

    • gorilla/websocket

      • BSD-2-Clause

    License verification:

    • .github/workflows/license-check.yml
    • runs:
      go-licenses check ./...

    Allowed licenses:

    • MIT
    • BSD
    • Apache
    • MPL
    • LGPL

    No proprietary cryptographic modules are required.


    バッジには十分です!

    プロジェクトによって作成されたソフトウェア内にあるセキュリティ メカニズムは、少なくとも、2030年までのNIST最小要件(2012年)を満たすデフォルト鍵長を使用しなければなりません。より小さな鍵長を完全に無効になるおうに、ソフトウェアを構成できなければなりません。 [crypto_keylength]
    これらの最小ビット長は、対称鍵112、ファクタリング係数2048、離散対数鍵224、離散対数群2048、楕円曲線224、ハッシュ224(パスワードハッシュはこのビット長でカバーされません。パスワードハッシュに関する詳しい情報は crypto_password_storage 基準にあります)です。さまざまな機関が出している推奨鍵長の比較については、https://www.keylength.comを参照してください。ソフトウェアは、 いくつかの構成ではより短い鍵長を許可するかもしれません(これはダウングレード攻撃を許すので、理想的には正しくありません。しかし、短い鍵長は、相互運用性のために時に必要となります)。

    Default cryptographic settings meet or exceed NIST SP 800-57 2030+ minimum recommendations.

    Defaults:

    • secp256k1 ECDSA signing

      • ~128-bit security level
      • required by EIP-191 / EIP-712

    • keccak-256 hashing

      • 256-bit output
      • SHA-3 family

    • Go stdlib TLS defaults

      • TLS 1.2 / 1.3
      • AES-128-GCM minimum

    Restrictions:

    • secp256k1 is the only supported signing curve
    • no configuration exists to weaken:
      • curve selection
      • key size
      • hashing algorithms

    Smaller key lengths are not configurable.


    バッジには十分です!

    プロジェクトによって生成されたソフトウェア内のデフォルトのセキュリティメカニズムは、壊れた暗号化アルゴリズム(MD4、MD5、シングルDES、RC4、Dual_EC_DRBGなど)に依存したり、実装する必要がない限り、コンテキストに不適切な暗号化モードを使用したりしてはなりません。相互運用可能なプロトコル(実装されたプロトコルがネットワークエコシステムによって広くサポートされている標準の最新バージョンであり、そのエコシステムではそのようなアルゴリズムまたはモードの使用が必要であり、そのエコシステムはこれ以上安全な代替手段を提供しません)。これらの壊れたアルゴリズムまたはモードが相互運用可能なプロトコルに必要な場合、ドキュメントには、関連するセキュリティリスクと既知の緩和策を記載する必要があります。 [crypto_working]
    ECBモードは、 ECBペンギンによって示されるように暗号文内の同一のブロックを明らかにするため、ほとんど適切ではありません。また、CTRモードは、認証を実行せず、入力状態が繰り返されると重複を引き起こすため、不適切なことがよくあります。多くの場合、Galois / Counter Mode(GCM)やEAXなど、機密性と認証を組み合わせるように設計されたブロック暗号アルゴリズム モードを選択するのが最善です。プロジェクトは、互換性のために必要な場合、ユーザーが壊れたメカニズムを有効にすることを許可する場合があります(構成中など)が、ユーザーはそれを実行していることを認識します。

    No broken cryptographic algorithms are used in any default code path.

    Cryptographic inventory:

    • secp256k1 ECDSA
      • signing
    • keccak-256
      • hashing
    • Go crypto/rand
      • randomness
    • TLS 1.2 / 1.3
      • transport security

    The following algorithms do not appear in the source tree:

    • MD4
    • MD5
    • SHA-1
    • RC2
    • RC4
    • DES / 3DES
    • Dual_EC_DRBG

    Verification:
    grep -rE "(md4|md5|^sha1|rc4|rc2|des\.|3des|dual_ec)" --include='*.go'

    Result:

    • empty

    No interoperability fallback to legacy cryptography is required.
    Derive uses modern EIP-191 and EIP-712 signing exclusively.


    バッジには十分です!

    プロジェクトによって作成されたソフトウェア内のデフォルトのセキュリティ メカニズムは、既知の重大な脆弱性を持つ暗号アルゴリズムやモード(たとえば、SHA-1暗号ハッシュ アルゴリズムまたはSSHのCBC モード)に依存するべきではありません。 [crypto_weaknesses]
    SSHのCBCモードに関する懸念事項は、 CERT: SSH CBC 脆弱性にて議論されています。.

    No algorithms with known serious weaknesses are used in default code paths.

    Cryptography:

    • signing uses keccak-256
    • SHA-1 is not used

    TLS:

    • handled by Go crypto/tls
    • defaults to AEAD ciphers:
      • AES-GCM
      • ChaCha20-Poly1305
    • TLS 1.2 and TLS 1.3 only
    • CBC suites disabled
    • static RSA key exchange disabled

    Absent from the source tree:

    • RC4
    • RC2
    • DES
    • 3DES
    • MD-family hashes

    Verified via grep across *.go files.


    バッジには十分です!

    プロジェクトによって作成されたソフトウェア内のセキュリティ メカニズムは、鍵合意プロトコルのための完全な順方向秘密を実装するべきなので、もし長期鍵が将来侵害された場合でも、長期鍵のセットから導出されるセッション鍵は侵害されません。 [crypto_pfs]

    Perfect forward secrecy is provided by the TLS layer.

    Transport security:

    • implemented through Go crypto/tls
    • ECDHE-based key exchange by default:
      • X25519
      • P-256
      • P-384

    TLS behavior:

    • TLS 1.2 uses ephemeral ECDHE key exchange
    • TLS 1.3 requires ephemeral key exchange
    • static RSA key exchange disabled
    • static DH key exchange disabled

    Security property:

    • compromise of long-term certificate keys cannot decrypt previously captured traffic

    The SDK does not implement its own application-level key agreement.


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアが外部ユーザーの認証用のパスワードの保存を引き起こす場合、パスワードは、キーストレッチ(反復)アルゴリズム(Argon2id、Bcrypt、Scrypt、PBKDF2など)を使用して、ユーザーごとのソルトで反復ハッシュとして保存される必要があります。OWASP Password Storage Cheat Sheetも参照してください)。 [crypto_password_storage]
    この基準は、ソフトウェアがサーバー側Webアプリケーションなどの外部ユーザーのパスワードを使用してユーザーの認証(別名インバウンド認証)を実施している場合にのみ適用されます。ソフトウェアが他のシステムへの認証用のパスワードを保存している場合(別名、アウトバウンド認証、たとえば、ソフトウェアが他のシステムのクライアントを実装している場合)、そのソフトウェアの少なくとも一部がハッシュされていないパスワードにアクセスできる必要があるため、適用されません。

    N/A — go-derive does not implement password-based authentication.

    Authentication model:

    • secp256k1 signatures
    • EIP-191
    • EIP-712

    The codebase contains:

    • no login flow
    • no credential database
    • no password hashing
    • no password storage

    Private keys:

    • provided by the calling application
    • held only in memory for signing
    • never serialized or persisted by the SDK

    バッジには十分です!

    プロジェクトによって作成されたソフトウェア内のセキュリティ メカニズムは、暗号学的にセキュアな乱数発生器を使用して、すべての暗号鍵とナンスを生成しなければなりません。暗号学的にセキュアでない発生器を使用してはいけません。 [crypto_random]
    暗号学的にセキュアな乱数発生器は、ハードウェアの乱数発生器でも、Hash_DRBG、HMAC_DRBG、 CTR_DRBG、Yarrow、Fortunaなどのアルゴリズムを使用する暗号学的にセキュアな疑似乱数発生器(CSPRNG)でもよいです。セキュアでない乱数発生器には、Javaのjava.util.RandomとJavaScriptのMath.randomがあります。

    All randomness uses Go crypto/rand, backed by the OS CSPRNG:

    • Linux: getrandom
    • macOS: arc4random_buf
    • Windows: BCryptGenRandom

    Security hardening:

    • PR #17 replaced:
      • math/rand
      • math/rand/v2
    • rewritten to use:
      • crypto/rand

    ECDSA signing:

    • signing nonces (k values) come from crypto/rand
    • provided through go-ethereum crypto.Sign

    Verification:
    grep -rE "math/rand" --include='*.go'

    Result:

    • zero matches

    No insecure RNG is reachable from any code path producing keys, nonces, or signatures.


  • MITM(man-in-the-middle:中間者)攻撃に対応できる安全な配信


    バッジには十分です!

    プロジェクトは、MITM攻撃に対抗する配信メカニズムを使用しなければならない。httpsまたはssh+scpを使用することは許容されます。 [delivery_mitm]
    さらに強力な仕組みは、デジタル署名されたパッケージでソフトウェアをリリースすることです。配布システムへの攻撃を緩和するからです。しかし、これは、署名の公開鍵が正当なものであることをユーザーが確信でき、かつユーザーが実際に署名をチェックする場合にのみ有効です。

    Distribution channels use HTTPS exclusively. [osps_br_03_02]


    バッジには十分です!

    暗号ハッシュ(たとえばSHA1SUM)は、http経由で運んではならず、暗号署名をチェックすることなしに使用してはいけません。 [delivery_unsigned]
    これらのハッシュは、送信中に変更することができます。

    No cryptographic hash is retrieved over plain HTTP and trusted without signature verification.

    Release verification:

    • .github/workflows/verify-release.yml
    • downloads occur over HTTPS
    • verification uses:
      • cosign verify-blob
      • slsa-verifier verify-artifact

    Verification checks:

    • Sigstore certificate identity validation
    • SLSA Level 3 provenance validation

    Security hardening:

    • PR #26 removed the last curl | bash pattern from CI
    • replaced with SHA-pinned:
      • codacy/codacy-coverage-reporter-action

    Dependency integrity:

    • go install uses HTTPS module transport
    • go.sum integrity verification enabled

    GitHub Actions:

    • all third-party Actions are SHA-pinned
    • enforced by:
      .github/workflows/pin-check.yml

  • 広く知られた脆弱性を修正


    バッジには十分です!

    60日を超えて公的に知られている中程度または重大度のパッチが適用されていない脆弱性は存在してはなりません。 [vulnerabilities_fixed_60_days]
    脆弱性は、プロジェクト自体によってパッチされ、リリースされなければなりません(パッチは他の場所で開発される可能性があります)。脆弱性が無料情報と共にCVE(共通脆弱性識別子)を持つとき(例えば、 National Vulnerability Database )、またはプロジェクトに情報が伝えられ、その情報が(おそらくプロジェクトによって)一般に公開されたとき、脆弱性は一般に知られるようになります。Common Vulnerability Scoring System (CVSS)の定性的スコアが中程度以上であれば、脆弱性は中程度以上の深刻度とみなされます。CVSS のバージョン 2.0 から 3.1 では、これは CVSS のスコア 4.0 以上に相当します。プロジェクトは、広く利用されている脆弱性データベース(国家脆弱性データベースなど)で公開されているCVSSスコアを、そのデータベースで報告されている最新バージョンのCVSSを用いて使用することができます。代わりに、プロジェクトは、脆弱性が公表された時点で計算入力内容が公開されている場合には、脆弱性が公表された時点でのCVSSの最新版を用いて深刻度を計算することができます。注意:これは、ユーザーが最大60日間、世界中のすべての攻撃者に対して脆弱なままになる可能性があることを意味します。この基準は、責任ある開示の再起動でGoogleが推奨しているものよりも、はるかに簡単に満たすことができることが多いです。なぜなら、Googleはレポートが公開されていなくても、プロジェクトが通知された時点で60日間の期間が開始されることを推奨しているためです。また、このバッジの基準は、他の基準と同様に、個々のプロジェクトに適用されることにも注意してください。プロジェクトの中には、より大きな包括組織や大規模プロジェクトの一部であり、複数のレイヤーに分かれている場合もあります。また、多くのプロジェクトでは、複雑なサプライチェーンの一部として、他の組織やプロジェクトに成果を提供しています。個々のプロジェクトは、多くの場合、残りの部分をコントロールできませんが、個々のプロジェクトは、脆弱性パッチをタイムリーにリリースするための作業を行うことができます。そのため、私たちは個々のプロジェクトの対応時間に焦点を当てています。 一旦、個々のプロジェクトからパッチが利用可能になると、他のプロジェクトはそのパッチにどのように対処するかを決定することができます(たとえば、新しいバージョンにアップデートすることもできますし、選別されたソリューションのパッチだけを適用することもできます)。

    No unpatched medium-or-higher vulnerabilities are currently known.

    Current status:

    • zero GitHub Security Advisories
    • zero Dependabot alerts

    CI security scanning:

    • govulncheck
    • osv-scanner
    • Trivy filesystem scanning
      • severity threshold: MEDIUM+
    • CodeQL
    • gosec
    • Semgrep
    • Codacy SAST

    All security checks are currently green on master HEAD.

    Relevant workflows:

    • .github/workflows/ci.yml
    • .github/workflows/osv-scanner.yml
    • .github/workflows/trivy.yml
    • .github/workflows/codeql.yml
    • .github/workflows/gosec.yml
    • .github/workflows/semgrep.yml
    • .github/workflows/codacy.yml

    バッジには十分です!

    プロジェクトは、すべての重要な脆弱性を、報告された後迅速に修正するべきです。 [vulnerabilities_critical_fixed]

    No critical vulnerabilities have been reported against go-derive.

    Current status:

    • GitHub Security Advisories empty
    • project age: 2 days

    The "rapid fix" requirement is currently satisfied vacuously.

    Security response policy:
    https://github.com/amiwrpremium/go-derive/blob/master/SECURITY.md

    Response targets:

    • Critical/High:

      • acknowledgment within 72 hours
      • triage update within 7 days
      • coordinated disclosure with the reporter

    • Medium/Low:

      • acknowledgment within 5 business days
      • best-effort triage thereafter

  • その他のセキュリティ上の課題


    バッジには十分です!

    公開リポジトリは、パブリックアクセスを制限するための有効なプライベートクレデンシャル(たとえば、有効なパスワードやプライベートキー)を漏らしてはなりません。 [no_leaked_credentials]
    プロジェクトは、パブリック アクセスを制限する意図がない限り、テスト用や重要でないデータベース用の「サンプル」資格情報を漏らす可能性があります。

    No valid private credentials exist in the repository.

    Continuous secret scanning:

    • gitleaks
    • TruffleHog
    • GitGuardian Security Checks
    • Codacy security scan

    Scanning scope:

    • every push
    • full git history

    Relevant workflows:

    • .github/workflows/gitleaks.yml
    • .github/workflows/trufflehog.yml

    Test vectors:

    • pkg/auth/*_test.go
    • use publicly-known Ethereum test keys
    • not usable credentials

    Repository contents:

    • no .env files
    • no credentials.json files

 分析 8/8

  • 静的コード解析


    バッジには十分です!

    選択した言語でこの基準を実装するFLOSSツールが少なくとも1つある場合、少なくとも1つの静的コード分析ツール(コンパイラの警告と「安全な」言語モード以外)を、ソフトウェアの主要な製品リリースの提案に、リリース前に適用する必要があります。 [static_analysis]
    静的コード解析ツールは、ソフトウェアコードを実行せずに特定の入力を用いて(ソースコード、中間コード、または実行可能ファイルとして)調べます。この基準のために、コンパイラの警告と「安全な」言語モードは、静的コード解析ツールとしてカウントされません(これらは通常、速度が重要なため深い解析を行いません)。このような静的コード解析ツールの例には、cppcheck (C, C++)、clang静的解析 (C, C++)、SpotBugs (Java)、FindBugs (Java) (FindSecurityBugsを含む)、PMD (Java)、Brakeman (Ruby on Rails)、lintr (R)、goodpractice (R), Coverity Quality AnalyzerSonarQubeCodacyおよび HP Enterprise Fortify Static Code Analyzer.大きなツールのリストは、静的コード解析のためのWikipediaツール一覧, 静的コード解析に関するOWASP情報 NISTソースコードセキュリティアナライザのリスト、およびウィーラーの静的解析ツール一覧などがあります。 使用する実装言語で使用できるFLOSS静的解析ツールがない場合は、「該当なし」(N/A)を選択します。

    The repository runs nine FLOSS static-analysis tools on every pull request and push to master:

    • CodeQL
    • gosec
    • Semgrep
    • staticcheck
    • golangci-lint
    • Trivy
    • osv-scanner
    • govulncheck
    • Codacy analyzers

    Codacy analyzers include:

    • Revive
    • Markdownlint
    • Remark-lint
    • Checkov

    Release process:

    • releases are created through release-please PRs
    • release PRs pass through the same CI and analysis gates
    • every release is preceded by a complete static-analysis run

    Workflow definitions:
    https://github.com/amiwrpremium/go-derive/tree/master/.github/workflows


    バッジには十分です!

    static_analysis基準に使用される静的解析ツールの少なくとも1つが、分析された言語または環境における共通の脆弱性を探すためのルールまたはアプローチを含むことが、推奨されています。 [static_analysis_common_vulnerabilities]
    一般的な脆弱性を探すために特別に設計された静的解析ツールは、それらを見つける可能性が高いです。つまり、静的ツールを使用すると、通常は問題を見つけるのに役立ちますので、利用を提案しますが、「合格」レベルのバッジには要求しません。

    Three static-analysis tools specifically target common Go vulnerability classes.

    gosec:

    • runs the full Go security ruleset
    • includes checks such as:
      • G101 hardcoded credentials
      • G201–G204 injection risks
      • G302–G306 file permissions
      • G401–G404 weak cryptography
      • G115 integer overflow
    • workflow:
      .github/workflows/gosec.yml

    Semgrep:

    • runs security-focused rule packs:
      • p/security-audit
      • p/golang
      • p/secrets
    • workflow:
      .github/workflows/semgrep.yml

    CodeQL:

    • uses the security-and-quality query pack
    • workflow:
      .github/workflows/codeql.yml

    All analysis runs execute on every push and pull request.


    バッジには十分です!

    静的コード解析で発見された中程度および重大度の悪用可能な脆弱性はすべて、それらが確認された後、適時に修正されなくてはなりません。 [static_analysis_fixed]
    Common Vulnerability Scoring System (CVSS)の基本的な定性的なスコアが中程度以上であれば、脆弱性は中程度以上の深刻度とみなされます。CVSS のバージョン 2.0 から 3.1 では、これは CVSS のスコア 4.0 以上に相当します。プロジェクトは、広く利用されている脆弱性データベース(国家脆弱性データベースなど)で公開されているCVSSスコアを、そのデータベースで報告されている最新バージョンのCVSSを用いて使用することができます。また、脆弱性が公開された時点で計算入力が公開されている場合には、脆弱性が公開された時点でのCVSSの最新バージョンを用いて深刻度を計算することもできます。基準 vulnerabilities_fixed_60_days では、公開後 60 日以内にすべての脆弱性を修正することが要求されていることに注意してください。

    All medium-or-higher severity findings from the static-analysis stack have been fixed at source.

    Examples:

    • gosec G115 integer narrowing

      • fixed in PR #17
      • explicit & 0xFFFF mask added

    • Semgrep / Opengrep math-random-used

      • fixed in PR #17
      • switched from non-CSPRNG randomness to crypto/rand

    Response time:

    • both fixes shipped within ~30 minutes of alert discovery

    Remaining open alerts:

    • low/info-severity false positives only

    Documented examples:

    • Codacy deadcode parser limitations with Go generics
    • remark-lint reference-resolution issues in Contributor Covenant templates

    Tracking document:
    https://github.com/amiwrpremium/go-derive/blob/master/docs/known-tool-issues.md


    バッジには十分です!

    静的ソースコード解析は、コミットごと、または少なくとも毎日実行することをお勧めします。 [static_analysis_often]

    All static analysis runs on every push and pull request:

    • gosec
    • Semgrep
    • CodeQL
    • Trivy
    • Codacy
    • osv-scanner
    • govulncheck
    • staticcheck
    • golangci-lint

    Analysis frequency:

    • every commit triggers fresh analysis

    Scheduled backstop scans:

    • daily:
      • Trivy
      • OpenSSF Scorecard
    • weekly:
      • CodeQL
      • Semgrep
      • osv-scanner
      • Codacy

    Purpose:

    • catches findings introduced by updated vulnerability datasets or rulesets

    Workflow definitions:
    https://github.com/amiwrpremium/go-derive/tree/master/.github/workflows


  • 動的コード分析


    バッジには十分です!

    リリース前に、ソフトウェアの主要な製品リリースに少なくとも1つの動的解析ツールを適用することが示唆されています。 [dynamic_analysis]
    動的解析ツールは、ソフトウェアを特定の入力で実行して検査します。たとえば、プロジェクトは、ファジングツール(アメリカンファジーロップなど)やウェブ アプリケーション スキャナ(例: ZAP または w3af )です。場合によっては、 OSS-Fuzz プロジェクトがプロジェクトにファズテストを適用する可能性があります。この基準のために、動的分析ツールは、様々な種類の問題を探すために何らかの方法で入力を変更するかまたは少なくとも80%のブランチ カバレッジを持つ自動テスト スイートである必要があります。 動的解析に関するWikipediaのページ ファジングに関するOWASPページで、いくつかの動的解析ツールを特定しています。解析ツールは、セキュリティの脆弱性を探すことに重点を置くことができますが、これは必須ではありません。

    Two FLOSS dynamic-analysis mechanisms run on every push and pull request, and therefore before every release.

    1. Go race detector
    • executed via:
      go test -race -coverprofile -covermode=atomic
    • configured in:
      .github/workflows/ci.yml
    • instruments runtime memory access to detect data races
    1. Native Go fuzzing
    • 10 fuzz functions across:
      • pkg/auth
      • pkg/types
      • pkg/errors
      • internal/jsonrpc

    Fuzz targets include:

    • signer handling
    • address parsing
    • txhash parsing
    • decimal parsing
    • orderbook parsing
    • millistime parsing
    • API error JSON decoding
    • JSON-RPC decode and notification detection

    Fuzz seed corpora:

    • committed into the repository
    • executed as ordinary tests during CI

    バッジには十分です!

    プロジェクトで作成されたソフトウェアにメモリ安全でない言語(CやC ++など)を使用して作成されたソフトウェアが含まれている場合、少なくとも1つの動的ツール(たとえば、ファジーまたはウェブ アプリケーション スキャナ)を、バッファの上書きなどのメモリの安全性の問題を検出するメカニズムと一緒にいつも使用します。プロジェクトがメモリ安全でない言語で書かれたソフトウェアを作成しない場合は、「該当なし」(N/A)を選択します。 [dynamic_analysis_unsafe]
    メモリの安全性の問題を検出するメカニズムの例としては、アドレスサニタイザー(ASAN)(GCCおよびLLVMで利用可能)、 Memory Sanitizer 、および valgrind が含まれます。他に使用される可能性のあるツールには、スレッドサニタイザ定義されていない動作サニタイザを参照してください。広範なアサーションも機能します。

    N/A — the project is written entirely in Go, a memory-safe language.

    Memory-safety properties:

    • no C code
    • no C++
    • no cgo usage
    • no unsafe package usage

    Verification:

    • grep -rn '"unsafe"' --include='*.go'
    • grep -rn 'import "C"' --include='*.go'

    Results:

    • both return empty

    Dependencies:

    • all modules in go.sum are pure Go

    バッジには十分です!

    プロジェクトでは、多くのアサーションを可能にする少なくとも一部の動的分析(テストやファジングなど)の構成を使用することをお勧めします。多くの場合、これらのアサーションは本番ビルドでは有効にしないでください。 [dynamic_analysis_enable_assertions]
    この基準は、本番環境でアサーションを有効にすることを示唆するものではありません。それは完全にプロジェクトとそのユーザーが決定することです。この基準の焦点は、展開の動的分析中の障害検出を改善することです。プロダクション環境でのアサーションの有効化は、動的分析(テストなど)中にアサーションを有効にすることとはまったく異なります。場合によっては、プロダクション環境でアサーションを有効にすることは非常に賢明ではありません(特に高整合性コンポーネントの場合)。プロダクション環境でアサーションを有効にすることには多くの議論があります。たとえば、ライブラリは呼び出し元をクラッシュさせてはなりません。ライブラリが存在するとアプリストアによる拒否が発生する可能性があります。また、プロダクション環境でアサーションをアクティブにすると、秘密鍵などの秘密データが公開される可能性があります。多くのLinuxディストリビューションではNDEBUGが定義されていないため、これらのディストリビューションのプロダクション環境ではデフォルトで C/C++ assert() が有効になります。これらの環境でのプロダクション環境では、別のアサーションメカニズムを使用するか、 NDEBUGを定義することが重要です。

    N/A — the project is written entirely in Go, a memory-safe language.

    Memory-safety properties:

    • no C code
    • no C++
    • no cgo usage
    • no unsafe package usage

    Verification:

    • grep -rn '"unsafe"' --include='*.go'
    • grep -rn 'import "C"' --include='*.go'

    Results:

    • both return empty

    Dependencies:

    • all modules in go.sum are pure Go

    バッジには十分です!

    動的コード分析で発見されたすべての中程度および重大度の悪用可能な脆弱性は、確認された後、適時に修正されなければなりません。 [dynamic_analysis_fixed]
    動的コード分析を実行しておらず、この方法で脆弱性が見つからない場合は、「該当なし」(N/A)を選択してください。 Common Vulnerability Scoring System (CVSS)の基本的な定性的スコアが中以上の場合、脆弱性は中程度以上の重大度と見なされます。 CVSSバージョン2.0から3.1では、これは4.0以上のCVSSスコアに相当します。プロジェクトは、広く使用されている脆弱性データベース( National Vulnerability Databaseなど)で公開されているCVSSスコアを、そのデータベースで報告されている最新バージョンのCVSSを使用して使用できます。代わりに、脆弱性が公表された後に計算入力が公開された場合、プロジェクトは脆弱性の開示時に最新バージョンのCVSSを使用して重大度を自ら計算することができます。

    No medium-or-higher severity dynamic-analysis findings have been raised.

    Current status:

    • Go race detector passes on every CI build
    • fuzz-test seed corpora execute on every push
    • no crashes or panics detected since:
      • v0.1.0
      • 2026-05-05

    CI matrix:

    • ubuntu
    • macos
    • windows
    • Go 1.25
    • Go 1.26

    There are currently no pending dynamic-analysis fixes.



このデータは、Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0)のもとで利用可能です。これは、データ受領者が、データ受領者がこの契約のテキストを共有データとともに利用可能にする限り、変更の有無にかかわらずデータを共有できることを意味します。AMiWRおよびOpenSSFベストプラクティスバッジのコントリビューターにクレジットを表示してください。

プロジェクト バッジ登録の所有者: AMiWR.
エントリの作成日時 2026-05-07 11:45:28 UTC、 最終更新日 2026-05-07 12:40:37 UTC 最後に2026-05-07 12:40:37 UTCにバッジ合格を達成しました。