Kollect

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

ソフトウェアに欠陥や脆弱性がないことを保証する手立てはありません。形式論的な証明ができたとしても、仕様や前提が間違っていると誤動作の可能性があります。また、プロジェクトが健全で、かつ機能的な開発コミュニティであり続けることを保証する手立てもありません。しかし、ベストプラクティスの採用は、プロジェクトの成果の向上に寄与する可能性があります。たとえば、いくつものベストプラクティスがリリース前の複数人によるレビューを定めていますが、それによりレビュー以外では発見困難な技術的脆弱性を見つけるのを助け、同時に異なる企業の開発者間の信頼を築き、さらに交流を続けることに対する意欲を生んでいます。バッジを獲得するには、すべてのMUSTおよびMUST NOT基準を満たさなければなりません。すべてのSHOULD基準も満たさなければなりませんが、正当な理由がある場合は満たさなくても構いません。そしてすべてのSUGGESTED基準も満たさなければなりませんが、満たさないとしても、少なくとも考慮することが望まれます。フィードバックは、 GitHubサイトのissueまたはpull requestとして提示されれば歓迎します。また、議論のためのメールリストも用意されています。

私たちは多言語で情報を提供していますが、翻訳版に矛盾や意味の不一致がある場合は、英語版を正式な記述とします。
これがあなたのプロジェクトである場合は、プロジェクトページにベースラインバッジステータスを表示してください!ベースラインバッジステータスは次のようになります: プロジェクト13106のベースラインバッジレベルはin_progressです ベースラインバッジを埋め込む方法は次のとおりです:
ベースラインバッジステータスを表示するには、マークダウンファイルに以下を埋め込みます:
[![OpenSSF Baseline](https://www.bestpractices.dev/projects/13106/baseline)](https://www.bestpractices.dev/projects/13106)
または、HTMLに以下を埋め込みます:
<a href="https://www.bestpractices.dev/projects/13106"><img src="https://www.bestpractices.dev/projects/13106/baseline"></a>


これらはベースラインレベル3の基準です。 これらは基準バージョン v2026.02.19 の評価項目です。

Baseline Series: ベースラインレベル1 ベースラインレベル2 ベースラインレベル3

        

 基本的情報

  • 一般

    他のプロジェクトが同じ名前を使用していないか注意してください。

    Kollect is a Kubernetes operator that turns selected live cluster state into a durable, queryable inventory. It watches resources by GVK, extracts attributes with CEL or JSONPath, aggregates them, and exports snapshots to pluggable sinks (Git, Postgres, Kafka/NATS, object stores). Inventory is declared as CRDs per team namespace, not custom code.

    SPDXライセンスの表現形式を使用してください。 例:「Apache-2.0」、「BSD-2-Clause」、「BSD-3-Clause」、「GPL-2.0+」、「LGPL-3.0+」、「MIT」、「(BSD-2-Clause OR Ruby)」。一重引用符または二重引用符を含めないでください。
    複数の言語がある場合は、コンマを区切り(スペースを入れてもよい)としてリストし、使用頻度の高いものから順に並べます。使用言語が多くある場合は、少なくとも最初の3つの最も多く使われるものをリストアップしてください。言語がない場合(例:ドキュメントだけ、またはテスト専用のプロジェクトの場合)、1文字 " - "を使用します。言語ごとにある大文字・小文字の慣用を踏襲してください(例:「JavaScript」)。
    Common Platform Enumeration(CPE)は、情報技術(IT)システム、ソフトウェア、およびパッケージのための構造化された命名体系です。脆弱性を報告する際に、多くのシステムやデータベースで使用されています。

    Pre-beta open-source project (MIT, v1alpha1 API). Primary artifact is the operator container image at ghcr.io/konih/kollect plus a Helm chart. Documentation at https://konih.github.io/kollect/. Security disclosures via SECURITY.md (private email, not public issues). Solo-maintainer OSS; vulnerability reports and dependency updates handled through Dependabot, govulncheck, and signed releases per ADR-0705.

 管理策 19/21

  • 管理策


    バッジには十分です!

    CI/CDパイプラインでジョブに権限が割り当てられる場合、ソースコードまたは設定は、対応するアクティビティに必要な最小限の権限のみを割り当てる必要があります。 [OSPS-AC-04.02]
    プロジェクトのCI/CDパイプラインを構成して、デフォルトでユーザーとサービスに最小限の利用可能な権限を割り当て、特定のタスクに必要な場合にのみ権限を昇格させます。一部のバージョン管理システムでは、組織またはリポジトリレベルで設定できる場合があります。それができない場合は、パイプラインのトップレベルで権限を設定してください。

    Workflows default to permissions: contents: read. Elevated permissions are scoped per job only where required (release job: contents: write, packages: write, id-token: write; docs deploy: pages: write). ADR-0705 documents the least-privilege model.


    バッジには十分です!

    信頼できる協力者の入力を受け付けるCI/CDパイプラインは、パイプラインで使用する前にその入力をサニタイズおよび検証しなければなりません。 [OSPS-BR-01.04]
    CI/CDパイプラインは、明示的なワークフロー実行時にすべての協力者の入力をサニタイズ(期待値の引用、エスケープ、または終了)する必要があります。協力者は一般的に信頼されていますが、ワークフローへの手動入力はレビューできず、アカウント乗っ取りや内部脅威によって悪用される可能性があります。

    https://github.com/konih/kollect/blob/main/.github/workflows/release.yaml

    Trusted collaborator inputs are validated before use. Release workflow_dispatch tag input is checked against a semver regex. Checkout uses pinned SHAs and persist-credentials: false. No untrusted metadata is passed directly into privileged steps without validation.


    バッジには十分です!

    正式なリリースが作成される場合、そのリリース内のすべてのアセットは、リリース識別子またはアセットの他の一意の識別子と明確に関連付けられている必要があります。 [OSPS-BR-02.02]
    プロジェクトによって生成される各ソフトウェアアセットに一意のバージョン識別子を割り当て、一貫した命名規則または番号体系に従ってください。例としては、SemVer、CalVer、またはgitコミットIDなどがあります。

    バッジには十分です!

    プロジェクトは、プロジェクトで使用されるシークレットと認証情報を管理するためのポリシーを定義する必要があります。このポリシーには、シークレットと認証情報を保存、アクセス、およびローテーションするためのガイドラインが含まれている必要があります。 [OSPS-BR-07.02]
    シークレットと認証情報がプロジェクト内でどのように管理され使用されているかを文書化してください。これには、シークレットがどのように保存されるか(例:シークレット管理ツールを使用)、アクセスがどのように制御されるか、シークレットがどのようにローテーションまたは更新されるかについての詳細が含まれている必要があります。機密情報がソースコードにハードコードされたり、バージョン管理システムに保存されたりしないようにしてください。

    https://github.com/konih/kollect/blob/main/docs/adr/0104-security-model.md https://github.com/konih/kollect/blob/main/GUIDELINES.md https://github.com/konih/kollect/blob/main/SECURITY.md

    Secret policy is documented across ADR-0104 and GUIDELINES: credentials only via Kubernetes secretRef, never in CR specs, status, logs, or events; resolved via BuildContext at reconcile time. SECURITY.md covers scanning for accidental commits (gitleaks) and supply-chain handling. Rotation is operational (update the Kubernetes Secret and re-run connection tests) rather than a formal calendar schedule.


    バッジには十分です!

    プロジェクトがリリースを作成した場合、プロジェクトのドキュメントには、リリースアセットの整合性と真正性を検証するための手順が含まれている必要があります。 [OSPS-DO-03.01]
    プロジェクトの手順には、使用されている技術、実行するコマンド、および期待される出力に関する情報が含まれている必要があります。可能であれば、このドキュメントをビルドおよびリリースパイプラインと同じ場所に保存しないようにして、単一の侵害によってソフトウェアとその整合性を検証するためのドキュメントの両方が侵害されることを避けてください。

    https://github.com/konih/kollect/blob/main/docs/RELEASE.md https://github.com/konih/kollect/blob/main/.github/release-notes-install.md

    Release documentation includes cosign verify commands, sha256sum -c checksums.txt, Sigstore bundle verification, and gh attestation verify for images and GitHub Release assets.


    バッジには十分です!

    プロジェクトがリリースを作成した場合、プロジェクトのドキュメントには、ソフトウェアリリースを作成した人またはプロセスの期待されるIDを検証するための手順が含まれている必要があります。 [OSPS-DO-03.02]
    期待されるIDは、署名に使用される鍵ID、sigstore証明書からの発行者とID、または他の類似の形式である可能性があります。可能であれば、このドキュメントをビルドおよびリリースパイプラインと同じ場所に保存しないようにして、単一の侵害によってソフトウェアとその整合性を検証するためのドキュメントの両方が侵害されることを避けてください。

    https://github.com/konih/kollect/blob/main/docs/RELEASE.md

    Verification instructions use cosign with --certificate-oidc-issuer https://token.actions.githubusercontent.com and --certificate-identity-regexp '^https://github.com/konih/kollect/.+' to confirm releases were signed by the project's GitHub Actions workflow identity.


    バッジには十分です!

    プロジェクトがリリースを作成した場合、プロジェクトのドキュメントには、各リリースのサポートの範囲と期間に関する説明文が含まれている必要があります。 [OSPS-DO-04.01]
    プロジェクトのリリースされたソフトウェアアセットのサポートの範囲と期間を伝えるために、プロジェクトにはSUPPORT.mdファイル、SECURITY.mdの「サポート」セクション、または各リリースの予想されるサポート期間、提供されるサポートの種類(例:バグ修正、セキュリティ更新)、およびサポートを受けるための関連ポリシーや手順を説明する他のドキュメントが必要です。

    https://github.com/konih/kollect/blob/main/SECURITY.md

    SECURITY.md defines supported versions: main and the latest tagged release only. README notes pre-beta status. This is a minimal support statement; expand if you want clearer LTS language.


    バッジには十分です!

    プロジェクトがリリースを作成した場合、プロジェクトのドキュメントには、リリースやバージョンがセキュリティ更新を受けなくなる時期について説明文が含まれている必要があります。 [OSPS-DO-05.01]
    セキュリティ修正のサポート範囲と期間を伝えるために、プロジェクトにはSUPPORT.mdまたはプロジェクトのセキュリティ更新に関するポリシーを説明する他のドキュメントが必要です。

    https://github.com/konih/kollect/blob/main/SECURITY.md

    SECURITY.md states that only the latest release tag receives security support; older tags are unsupported. No separate EOL calendar exists yet, but the policy is explicit.


    バッジには不十分です。

    プロジェクトがアクティブである間、プロジェクトのドキュメントには、機密リソースへのエスカレートされた権限を付与する前にコード共同作業者がレビューされるポリシーが含まれている必要があります。 [OSPS-GV-04.01]
    マージ承認やシークレットへのアクセスなど、機密リソースへのエスカレートされた権限を付与される前に、コード共同作業者がレビューおよび承認される必要があるという実行可能なポリシーをプロジェクトのドキュメントに公開してください。審査には、既知の信頼できる組織との貢献者の関連性を確認するなど、正当化可能なIDの系統を確立することが推奨されます。

    https://github.com/konih/kollect/blob/main/docs/adr/0705-release-supply-chain.md

    There is no documented policy requiring human review before granting escalated repository permissions to new collaborators. ADR-0705 explicitly defers multi-person review gates for the solo-maintainer workflow. To meet this: add a short policy in CONTRIBUTING.md or SECURITY.md covering collaborator onboarding and permission escalation.


    バッジには十分です!

    プロジェクトがリリースを作成した場合、リリースされたすべてのコンパイル済みソフトウェアアセットは、ソフトウェア部品表とともに配信される必要があります。 [OSPS-QA-02.02]
    ビルド時に精度が検証されたツールを使用してSBOMを自動生成することが推奨されます。これにより、ユーザーは環境内の他のプロジェクトと並行して、標準化されたアプローチでこのデータを取り込むことができます。

    https://github.com/konih/kollect/releases https://github.com/konih/kollect/blob/main/.github/workflows/release.yaml

    Each GitHub Release publishes sbom.spdx.json and sbom-ui.spdx.json. OCI images on GHCR also carry SPDX SBOM attestations via actions/attest.


    バッジには十分です!

    プロジェクトが複数のソースコードリポジトリで構成されるリリースを作成した場合、すべてのサブプロジェクトは、プライマリコードベースと同等またはそれより厳しいセキュリティ要件を実施する必要があります。 [OSPS-QA-04.02]
    プロジェクトによって生成され、リリースにコンパイルされる追加のサブプロジェクトコードリポジトリは、それぞれのコードベースのステータスと意図に応じて、セキュリティ要件を実施する必要があります。対応するOSPS Baseline要件に従うことに加えて、これにはセキュリティレビューを要求すること、脆弱性がないこと、および既知のセキュリティ問題がないことを確認することが含まれる場合があります。

    The released software is built from a single authoritative repository (konih/kollect). No multi-repo release comprising subprojects with separate codebases.


    バッジには十分です!

    プロジェクトがアクティブである間、プロジェクトのドキュメントには、テストがいつどのように実行されるかを明確に記載する必要があります。 [OSPS-QA-06.02]
    コントリビューションドキュメントに、ローカルでテストを実行する方法とCI/CDパイプラインでテストを実行する方法を説明するセクションを追加します。ドキュメントでは、テストが何をテストしているかと結果の解釈方法を説明する必要があります。

    https://github.com/konih/kollect/blob/main/docs/development/testing.md https://github.com/konih/kollect/blob/main/CONTRIBUTING.md https://github.com/konih/kollect/blob/main/.github/workflows/ci.yaml

    The test suite is MIT-licensed FLOSS in the same repository. CONTRIBUTING.md and testing.md document how to run task test, task coverage, task test-integration, and task test:e2e. GitHub Actions CI runs these gates on every push and pull request. [test]


    バッジには十分です!

    アクティブな間、プロジェクトのドキュメントには、プロジェクトが生成するソフトウェアに対するすべての主要な変更は、自動化されたテストスイートの機能のテストを追加または更新する必要があるというポリシーを含めなければなりません(MUST)。 [OSPS-QA-06.03]
    コントリビューションドキュメントに、テストの追加または更新に関するポリシーを説明するセクションを追加します。ポリシーでは、主要な変更とは何か、どのようなテストを追加または更新すべきかを説明する必要があります。

    ttps://github.com/konih/kollect/blob/main/CONTRIBUTING.md https://github.com/konih/kollect/blob/main/docs/development/testing.md

    CONTRIBUTING.md maps contributors to the testing strategy document and lists task coverage in the PR preflight checklist. testing.md documents which test tier blocks merge for each change type, including the rule that new sink backends must reach L3 before merge. [tests_documented_added]


    バッジには不十分です。

    プライマリブランチにコミットが行われる場合、プロジェクトのバージョン管理システムは、マージする前に、作者以外の少なくとも1人の人間による変更の承認を要求しなければなりません(MUST)。 [OSPS-QA-07.01]
    プロジェクトのバージョン管理システムを構成し、リリースまたはプライマリブランチにマージする前に、作者以外の少なくとも1人の人間による変更の承認を要求します。これは、プルリクエストがマージされる前に、少なくとも1人の他のコラボレーターによってレビューおよび承認されることを要求することで実現できます。

    https://github.com/konih/kollect/blob/main/docs/adr/0705-release-supply-chain.md

    Branch protection does not require pull-request reviews (required_pull_request_reviews: null). The sole maintainer can push directly to main (enforce_admins: false). ADR-0705 documents this as an intentional solo-maintainer deferral. CI gates substitute for human review but do not satisfy this specific control.


    バッジには十分です!

    プロジェクトがリリースを行った場合、プロジェクトは、システム内の重要なコードパス、関数、および相互作用に対する攻撃を理解して防御するために、脅威モデリングと攻撃面分析を実行しなければなりません(MUST)。 [OSPS-SA-03.02]
    脅威モデリングは、プロジェクトがコードベース、関連するプロセスとインフラストラクチャ、インターフェース、主要コンポーネントを調べ、「ハッカーのように考え」、システムがどのように破壊または侵害される可能性があるかをブレインストーミングする活動です。識別された各脅威をリストアップし、プロジェクトは、発生する可能性のあるギャップ/脆弱性を積極的に回避または閉じる方法を検討できます。新機能や破壊的変更に対して、これが更新されていることを確認してください。

    https://github.com/konih/kollect/blob/main/docs/adr/0104-security-model.md https://github.com/konih/kollect/blob/main/docs/ARCHITECTURE.md

    ADR-0104 consolidates the threat model (secret leakage, MITM, RBAC escalation, over-broad access) and mitigations across critical paths. ARCHITECTURE.md documents reconciliation, sink export, and multi-tenant boundaries. This is project-level analysis, not a per-release checklist; no formal "threat model updated at each release" process exists.


    バッジには十分です!

    アクティブな間、プロジェクトに影響を与えないソフトウェアコンポーネントの脆弱性は、VEXドキュメントで説明し、非悪用可能性の詳細で脆弱性レポートを補強しなければなりません(MUST)。 [OSPS-VM-04.02]
    既知の脆弱性の悪用可能性ステータスを伝達するVEXフィードを確立し、評価の詳細または脆弱なコードが実行されないようにする適切な緩和策を含めます。

    https://github.com/konih/kollect/blob/main/docs/adr/0104-security-model.md https://github.com/konih/kollect/blob/main/docs/ARCHITECTURE.md

    ADR-0104 consolidates the threat model (secret leakage, MITM, RBAC escalation, over-broad access) and mitigations across critical paths. ARCHITECTURE.md documents reconciliation, sink export, and multi-tenant boundaries. This is project-level analysis, not a per-release checklist; no formal "threat model updated at each release" process exists.


    バッジには十分です!

    アクティブな間、プロジェクトドキュメントには、脆弱性とライセンスに関連するSCA調査結果の修復のしきい値を定義するポリシーを含めなければなりません(MUST)。 [OSPS-VM-05.01]
    プロジェクト内に、脆弱性とライセンスに関連するSCA調査結果の修復のしきい値を定義するポリシーを文書化します。これらの調査結果を識別、優先順位付け、修復するプロセスを含めます。

    https://github.com/konih/kollect/blob/main/docs/security/sca-remediation-policy.md https://github.com/konih/kollect/blob/main/SECURITY.md

    The project publishes a dedicated SCA remediation policy that defines thresholds for both vulnerabilities and licenses. Vulnerability SLAs: Critical 7 days, High 30 days, Medium 90 days, Low by next minor release, plus zero-tolerance gates for reachable CVEs (govulncheck) and fixable CRITICAL/HIGH in release images (Trivy). License classes: Allow, Review (90 days to confirm), Deny (remove before merge or within 30 days). SECURITY.md links to this policy under “Dependency and license policy (SCA)”.


    バッジには十分です!

    アクティブな間、プロジェクトドキュメントには、リリース前にSCA違反に対処するポリシーを含めなければなりません(MUST)。 [OSPS-VM-05.02]
    プロジェクト内に、リリース前に該当するソフトウェア構成分析の結果に対処するポリシーを文書化し、リリース前にそのポリシーへの準拠を検証するステータスチェックを追加します。

    https://github.com/konih/kollect/blob/main/docs/adr/0705-release-supply-chain.md https://github.com/konih/kollect/blob/main/.github/workflows/release.yaml

    Trivy scans release images and fails the release workflow on fixable CRITICAL/HIGH findings. Merges to main (from which releases are tagged) require green preflight and test CI jobs including govulnchec


    バッジには十分です!

    アクティブな間、プロジェクトのコードベースへのすべての変更は、悪意のある依存関係と依存関係の既知の脆弱性に関する文書化されたポリシーに対して自動的に評価され、非悪用可能と宣言および抑制されている場合を除き、違反の場合はブロックされなければなりません(MUST)。 [OSPS-VM-05.03]
    プロジェクトのバージョン管理システムにステータスチェックを作成し、コードベースへのすべての変更に対してソフトウェア構成分析ツールを実行します。変更がマージされる前に、ステータスチェックが合格することを要求します。

    https://github.com/konih/kollect/blob/main/.github/workflows/ci.yaml https://github.com/konih/kollect/blob/main/SECURITY.md

    Every push and PR runs govulncheck (task vulncheck), which blocks merge on failure. Dependabot security updates generate automated patch PRs. Documented suppression path for confirmed non-exploitable findings is inline in SECURITY.md (not VEX-formatted).


    バッジには十分です!

    アクティブな間、プロジェクトドキュメントには、SAST調査結果の修復のしきい値を定義するポリシーを含めなければなりません(MUST)。 [OSPS-VM-06.01]
    プロジェクト内に、静的アプリケーションセキュリティテスト(SAST)調査結果の修復のしきい値を定義するポリシーを文書化します。これらの調査結果を識別、優先順位付け、修復するプロセスを含めます。

    https://github.com/konih/kollect/blob/main/CONTRIBUTING.md https://github.com/konih/kollect/blob/main/.github/workflows/ci.yaml

    The lint job fails CI on any golangci-lint finding; main is protected and requires green preflight and test checks before merge. CodeQL results appear under GitHub Security → Code scanning and are triaged before release. No open medium-or-higher static-analysis findings are outstanding. [static_analysis_fixed]


    バッジには十分です!

    アクティブな間、プロジェクトのコードベースへのすべての変更は、セキュリティの弱点に関する文書化されたポリシーに対して自動的に評価され、非悪用可能と宣言および抑制されている場合を除き、違反の場合はブロックされなければなりません(MUST)。 [OSPS-VM-06.02]
    プロジェクトのバージョン管理システムにステータスチェックを作成し、コードベースへのすべての変更に対して静的アプリケーションセキュリティテスト(SAST)ツールを実行します。変更がマージされる前に、ステータスチェックが合格することを要求します。

    https://github.com/konih/kollect/blob/main/.github/workflows/ci.yaml https://github.com/konih/kollect/blob/main/.github/workflows/codeql.yaml https://github.com/konih/kollect/blob/main/SECURITY.md

    Releases are tagged from main after required CI passes. Every push and PR runs golangci-lint v2 (task lint) including gosec, staticcheck, govet, and errcheck. CodeQL analyzes Go on every push/PR to main and weekly. Release images are scanned with Trivy before publish. All tools are FLOSS. [static_analysis]



このデータは、Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0)のもとで利用可能です。これは、データ受領者が、データ受領者がこの契約のテキストを共有データとともに利用可能にする限り、変更の有無にかかわらずデータを共有できることを意味します。Konrad HeimelおよびOpenSSFベストプラクティスバッジのコントリビューターにクレジットを表示してください。

プロジェクト バッジ登録の所有者: Konrad Heimel.
エントリの作成日時 2026-06-05 19:46:16 UTC、 最終更新日 2026-06-05 21:03:36 UTC 最後に2026-06-05 20:55:11 UTCにバッジ合格を達成しました。