pic-standard

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

ソフトウェアに欠陥や脆弱性がないことを保証する手立てはありません。形式論的な証明ができたとしても、仕様や前提が間違っていると誤動作の可能性があります。また、プロジェクトが健全で、かつ機能的な開発コミュニティであり続けることを保証する手立てもありません。しかし、ベストプラクティスの採用は、プロジェクトの成果の向上に寄与する可能性があります。たとえば、いくつものベストプラクティスがリリース前の複数人によるレビューを定めていますが、それによりレビュー以外では発見困難な技術的脆弱性を見つけるのを助け、同時に異なる企業の開発者間の信頼を築き、さらに交流を続けることに対する意欲を生んでいます。バッジを獲得するには、すべてのMUSTおよびMUST NOT基準を満たさなければなりません。すべてのSHOULD基準も満たさなければなりませんが、正当な理由がある場合は満たさなくても構いません。そしてすべてのSUGGESTED基準も満たさなければなりませんが、満たさないとしても、少なくとも考慮することが望まれます。フィードバックは、 GitHubサイトのissueまたはpull requestとして提示されれば歓迎します。また、議論のためのメールリストも用意されています。

私たちは多言語で情報を提供していますが、翻訳版に矛盾や意味の不一致がある場合は、英語版を正式な記述とします。

これがあなたのプロジェクトなら、あなたのプロジェクトページにあなたのバッジステータスを表示してください！バッジステータスは次のようになります。

バッジステータスの埋め込み方法は次のとおりです。

バッジステータスを表示するには、あなたのプロジェクトのマークダウンファイルに以下を埋め込みます

[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/12790/badge)](https://www.bestpractices.dev/projects/12790)

あるいは、以下をHTMLに埋め込みます

<a href="https://www.bestpractices.dev/projects/12790"><img src="https://www.bestpractices.dev/projects/12790/badge"></a>

これらは

レベルの基準です。

または

レベル基準を表示することもできます。

Baseline Series: ベースラインレベル1 ベースラインレベル2 ベースラインレベル3

変更管理 1/1 ●

以前のバージョン

Criterion [maintenance_or_update]
適合

不適合

該当なし

?

プロジェクトは、最も頻繁に使用される古いバージョンの製品を維持するか、または新しいバージョンへのアップグレードを提供しなければなりません。アップグレード方法が困難な場合は、プロジェクトは、アップグレード方法（変更されたインターフェイスや、アップグレードに役立つ詳細な手順など）を記載しなければなりません。 ^{[maintenance_or_update]}

https://github.com/madeinplutofabio/pic-standard/blob/main/docs/migration-trust-sanitization.md

The project follows Semantic Versioning and provides a documented upgrade path to newer versions. Per SECURITY.md, only the latest minor release on the v0.x line receives security fixes; older versions are end-of-life, and users are expected to upgrade. To support that upgrade path, the project provides:
(1) CHANGELOG.md — a detailed per-release log following semver, with explicit Added / Deprecated / Changed / Notes sections noting wire-format compatibility on every release.
(2) docs/migration-trust-sanitization.md — a dedicated migration guide for the v0.7.x → v0.8.x → v1.0 trust-model migration, covering: what is changing and why, a per-version timeline table (v0.7.x, v0.8.0, v0.8.1, v1.0), the deprecation warnings producers will see (PICTrustFutureWarning, PICSemiTrustedDeprecationWarning), and step-by-step migration instructions (audit → add evidence → enable evidence verification → opt in to strict_trust=True early).
(3) ROADMAP.md §"How spec normative freezes are sequenced" — documents the trajectory of every spec artifact (DRAFT → cross-implementation conformance → normative) and the release ladder showing exactly what changes between versions.
Wire-format compatibility is explicitly tracked: v0.8.1 release notes confirm "Existing v0.8.0 proposals continue to parse, verify, and produce the same allow/block verdicts under v0.8.1," and a verdict-regression matrix in tests/test_trust_deprecation_warning.py is a permanent CI guard against silent behavior changes.

分析 2/2 ●

静的コード解析

Criterion [static_analysis_common_vulnerabilities]
適合

不適合

該当なし

?

プロジェクトは、選択された言語でこの基準を実装できる少なくとも1つのFLOSSツールがある場合、解析された言語または環境で共通の脆弱性を探すためのルールまたはアプローチを備えた少なくとも1つの静的解析ツールを使用しなければならなりません。 ^{[static_analysis_common_vulnerabilities]}
一般的な脆弱性を探すために特別に設計された静的解析ツールは、それらを見つける可能性が高いです。つまり、静的ツールを使用すると、通常は問題を見つけるのに役立ちますので、利用を提案しますが、「合格」レベルのバッジには要求しません。

The TypeScript type checking + Python test/conformance suite already surface many common issues.

動的コード分析

Criterion [dynamic_analysis_unsafe]
適合

不適合

該当なし

?

もしプロジェクトで作成されたソフトウェアにメモリ安全でない言語（CやC ++など）を使用して作成されたソフトウェアが含まれているならば、そのときには 少なくとも1つの動的ツール（たとえば、ファジーまたはウェブアプリケーションスキャナ）を、バッファの上書きなどのメモリの安全性の問題を検出するメカニズムと一緒にいつも使用します。プロジェクトがメモリ安全でない言語で書かれたソフトウェアを作成しない場合は、「該当なし」（N/A）を選択します。 ^{[dynamic_analysis_unsafe]}
メモリの安全性の問題を検出するメカニズムの例としては、アドレスサニタイザー（ASAN）（GCCおよびLLVMで利用可能）、 Memory Sanitizer 、および valgrind が含まれます。他に使用される可能性のあるツールには、スレッドサニタイザと定義されていない動作サニタイザを参照してください。広範なアサーションも機能します。

main codebase is Python (memory-safe) and the small TypeScript integration is also memory-safe with type checking. No C/C++ or other unsafe languages.

このデータは、Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0)のもとで利用可能です。これは、データ受領者が、データ受領者がこの契約のテキストを共有データとともに利用可能にする限り、変更の有無にかかわらずデータを共有できることを意味します。Fabio Marcello SalvadoriおよびOpenSSFベストプラクティスバッジのコントリビューターにクレジットを表示してください。

プロジェクトバッジ登録の所有者： Fabio Marcello Salvadori.
エントリの作成日時 2026-05-09 11:08:52 UTC、 最終更新日 2026-06-22 23:27:53 UTC 最後に2026-05-09 13:34:54 UTCにバッジ合格を達成しました。

pic-standard

基本的情報 17/17 ●

一般

前提要件

基本的なプロジェクトウェブサイトのコンテンツ

プロジェクトの管理・運営

ドキュメンテーション

アクセシビリティと国際化

その他

変更管理 1/1 ●

以前のバージョン

報告 3/3 ●

バグ報告プロセス

脆弱性報告プロセス

品質 19/19 ●

コーディング標準

作業ビルドシステム

インストールシステム

外部で維持管理されるコンポーネント

自動テストスイート

新機能テスト

警告フラグ

セキュリティ 13/13 ●

セキュリティに関する開発知識

優良な暗号手法を使用する

公開物の安全性

その他のセキュリティ上の課題

分析 2/2 ●

静的コード解析

動的コード分析

pic-standard

基本的情報 17/17 ●

一般

前提要件

基本的なプロジェクト ウェブサイトのコンテンツ

プロジェクトの管理・運営

ドキュメンテーション

アクセシビリティと国際化

その他

変更管理 1/1 ●

以前のバージョン

報告 3/3 ●

バグ報告プロセス

脆弱性報告プロセス

品質 19/19 ●

コーディング標準

作業ビルドシステム

インストールシステム

外部で維持管理されるコンポーネント

自動テスト スイート

新機能テスト

警告フラグ

セキュリティ 13/13 ●

セキュリティに関する開発知識

優良な暗号手法を使用する

公開物の安全性

その他のセキュリティ上の課題

分析 2/2 ●

静的コード解析

動的コード分析

基本的なプロジェクトウェブサイトのコンテンツ

自動テストスイート