pam-approver

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

ソフトウェアに欠陥や脆弱性がないことを保証する手立てはありません。形式論的な証明ができたとしても、仕様や前提が間違っていると誤動作の可能性があります。また、プロジェクトが健全で、かつ機能的な開発コミュニティであり続けることを保証する手立てもありません。しかし、ベストプラクティスの採用は、プロジェクトの成果の向上に寄与する可能性があります。たとえば、いくつものベストプラクティスがリリース前の複数人によるレビューを定めていますが、それによりレビュー以外では発見困難な技術的脆弱性を見つけるのを助け、同時に異なる企業の開発者間の信頼を築き、さらに交流を続けることに対する意欲を生んでいます。バッジを獲得するには、すべてのMUSTおよびMUST NOT基準を満たさなければなりません。すべてのSHOULD基準も満たさなければなりませんが、正当な理由がある場合は満たさなくても構いません。そしてすべてのSUGGESTED基準も満たさなければなりませんが、満たさないとしても、少なくとも考慮することが望まれます。フィードバックは、 GitHubサイトのissueまたはpull requestとして提示されれば歓迎します。また、議論のためのメールリストも用意されています。

私たちは多言語で情報を提供していますが、翻訳版に矛盾や意味の不一致がある場合は、英語版を正式な記述とします。
これがあなたのプロジェクトである場合は、プロジェクトページにベースラインバッジステータスを表示してください!ベースラインバッジステータスは次のようになります: プロジェクト13345のベースラインバッジレベルはbaseline-1です ベースラインバッジを埋め込む方法は次のとおりです:
ベースラインバッジステータスを表示するには、マークダウンファイルに以下を埋め込みます:
[![OpenSSF Baseline](https://www.bestpractices.dev/projects/13345/baseline)](https://www.bestpractices.dev/projects/13345)
または、HTMLに以下を埋め込みます:
<a href="https://www.bestpractices.dev/projects/13345"><img src="https://www.bestpractices.dev/projects/13345/baseline"></a>


これらはベースラインレベル2の基準です。 これらは基準バージョン v2026.02.19 の評価項目です。

Baseline Series: ベースラインレベル1 ベースラインレベル2 ベースラインレベル3

        

 基本的情報

  • 一般

    他のプロジェクトが同じ名前を使用していないか注意してください。

    Mobile-friendly approver UI for Google Cloud Privileged Access Manager (PAM).

    SPDXライセンスの表現形式を使用してください。 例:「Apache-2.0」、「BSD-2-Clause」、「BSD-3-Clause」、「GPL-2.0+」、「LGPL-3.0+」、「MIT」、「(BSD-2-Clause OR Ruby)」。一重引用符または二重引用符を含めないでください。
    複数の言語がある場合は、コンマを区切り(スペースを入れてもよい)としてリストし、使用頻度の高いものから順に並べます。使用言語が多くある場合は、少なくとも最初の3つの最も多く使われるものをリストアップしてください。言語がない場合(例:ドキュメントだけ、またはテスト専用のプロジェクトの場合)、1文字 " - "を使用します。言語ごとにある大文字・小文字の慣用を踏襲してください(例:「JavaScript」)。
    Common Platform Enumeration(CPE)は、情報技術(IT)システム、ソフトウェア、およびパッケージのための構造化された命名体系です。脆弱性を報告する際に、多くのシステムやデータベースで使用されています。

    Mobile-friendly, backend-less approver UI for Google Cloud Privileged Access Manager (PAM); a static SPA that calls the PAM API directly from the browser.

 管理策 18/19

  • 管理策


    CI/CDタスクが権限を指定せずに実行される場合、CI/CDシステムはパイプラインで付与される最低限の権限をタスクの権限としてデフォルトで設定しなければなりません。 [OSPS-AC-04.01]
    プロジェクトの設定を構成して、デフォルトで新しいパイプラインに利用可能な最低限の権限を割り当て、特定のタスクに必要な場合にのみ追加の権限を付与します。

    The repository's default GitHub Actions token permission is set to read-only (default_workflow_permissions: read, with can_approve_pull_request_reviews: false), so any task executed without explicit permissions defaults to the lowest level rather than write. In addition, every workflow declares least privilege explicitly: cd.yml, release-drafter.yml, and scorecard.yml set top-level permissions: {} (deny-all) and grant only the specific scopes each job needs, and tailwind-update.yml defaults to contents: read. See https://github.com/schack/pam-approver/blob/main/.github/workflows/cd.yml



    公式リリースが作成される場合、そのリリースには一意のバージョン識別子を割り当てなければなりません。 [OSPS-BR-02.01]
    プロジェクトによって生成される各リリースに、一貫した命名規則または番号付けスキームに従って一意のバージョン識別子を割り当てます。例には、SemVer、CalVer、またはgit commit idが含まれます。


    公式リリースが作成される場合、そのリリースには機能的およびセキュリティの変更の記述的なログを含めなければなりません。 [OSPS-BR-04.01]
    すべてのリリースに記述的な変更ログを含めるようにしてください。変更ログが人間が読めるものであり、コミットメッセージだけでなく、セキュリティへの影響や異なるユースケースとの関連性についての説明などの詳細を含めることが推奨されます。機械可読性を確保するために、「## Changelog」などのmarkdownヘッダーの下にコンテンツを配置してください。

    Every official release is assigned a unique CalVer identifier of the form YEAR.MONTH.SEQUENCE (e.g. 2026.6.0). The version is computed automatically from existing tags so each release gets a distinct, non-reused number, and the scheme is documented in CONTRIBUTING.md "Releases". Released git tags and container image tags carry that identifier. See https://github.com/schack/pam-approver/releases



    ビルドとリリースのパイプラインが依存関係を取り込む場合、利用可能な場合は標準化されたツールを使用しなければなりません。 [OSPS-BR-05.01]
    エコシステム用の一般的なツール(パッケージマネージャーや依存関係管理ツールなど)を使用して、ビルド時に依存関係を取り込みます。これには、必要な依存関係を指定するための依存関係ファイル、ロックファイル、またはマニフェストを使用し、ビルドシステムによって取り込まれることが含まれます。

    The pipeline ingests dependencies with standardized tooling where available: ▎ - Container base images (nginx, Debian) are pulled via standard Docker/BuildKit (FROM + multi-arch buildx), pinned by tag and digest. ▎ - GitHub Actions are consumed via the native uses: mechanism, pinned by commit SHA, and tracked for updates by Dependabot (.github/dependabot.yml). ▎ - There are no language-package runtime dependencies to ingest (the app ships zero npm dependencies by design), so no package-manager install step is needed. ▎ - The single standalone tool, the Tailwind CSS CLI, has no suitable package-manager distribution for this use, so it is fetched over HTTPS from its official GitHub release and verified against the publisher's sha256sums.txt (and re-verified in the Dockerfile with sha256sum -c) before use.



    公式リリースが作成される場合、そのリリースには署名するか、各アセットの暗号ハッシュを含む署名付きマニフェストで説明しなければなりません。 [OSPS-BR-06.01]
    ビルド時にすべてのリリースされたソフトウェア アセットを、GPGまたはPGP署名、Sigstore署名、SLSAプロベナンス、またはSLSA VSAなどの暗号署名または証明で署名します。署名付きマニフェストまたはメタデータファイルに各アセットの暗号ハッシュを含めます。

    Every official release's container image is signed with Sigstore cosign (keyless, via GitHub OIDC). The signature is applied to the multi-arch image index digest, and that OCI manifest accounts for each asset (per-architecture manifests and layers) by its SHA-256 digest, so the signed object cryptographically covers every component. Releases also ship SLSA provenance and an SBOM attestation. Verification steps are documented in SECURITY.md (https://github.com/schack/pam-approver/blob/main/SECURITY.md):



    プロジェクトがリリースを行った場合、プロジェクトのドキュメントには、プロジェクトが依存関係をどのように選択、取得、および追跡するかについての説明を含めなければなりません。 [OSPS-DO-06.01]
    この情報をソースコードリポジトリ、プロジェクトウェブサイト、またはその他のチャネルなどの公開表示可能なリソース上で、プロジェクトの技術および設計ドキュメントと一緒に公開することが推奨されます。

    The primary branch (main) is protected by a GitHub repository ruleset that requires a pull request and requires the test and build status checks (from .github/workflows/cd.yml) to pass before merging, with strict up-to-date enforcement and no bypass actors. Changes therefore cannot land on main unless the automated checks pass.



    プロジェクトのドキュメントには、必要なライブラリ、フレームワーク、SDK、および依存関係を含む、ソフトウェアのビルド方法に関する手順が含まれていなければなりません。 [OSPS-DO-07.01]
    この情報は、CONTRIBUTING.mdや他の開発者タスクドキュメントなど、プロジェクトの貢献者ドキュメントと一緒に公開することが推奨されます。これはまた、Makefileターゲットや他の自動化スクリプトを使用して文書化することもできます。

    The software builds with a single command using Docker, which is the only required tool. docker build . (or docker compose up --build, README "Run locally": https://github.com/schack/pam-approver#run-locally) builds the image. All libraries, frameworks, and SDKs are fetched and version-pinned inside the multi-stage Dockerfile (https://github.com/schack/pam-approver/blob/main/Dockerfile) — the Tailwind CSS standalone CLI (downloaded and SHA-256 verified) and the nginx base image — so nothing needs manual installation. The build runs in CI on every PR (.github/workflows/cd.yml) and the Dockerfile is hadolint-linted.



    有効な間、プロジェクトのドキュメントには、機密性の高いリソースへのアクセス権を持つプロジェクトメンバーのリストを含めなければなりません。 [OSPS-GV-01.01]
    プロジェクトのソースコードリポジトリ内のmembers.md、governance.md、maintainers.md、または同様のファイルなどのアーティファクトを通じて、プロジェクト参加者とその役割を文書化します。これは、メンテナのリストに名前またはアカウントハンドルを含めるだけの簡単なものでも、プロジェクトのガバナンスに応じてより複雑なものでも構いません。

    pam-approver is a single-maintainer project. SECURITY.md lists the sole member with access to sensitive resources (Henrik Schack, @schack), who holds GitHub repository admin and GHCR package publish access, and documents that there are no long-lived secrets or signing keys to manage (keyless OIDC signing via cosign, a public OAuth client ID, and no stored client secret or deployment credential). See https://github.com/schack/pam-approver/blob/main/SECURITY.md#maintainers-and-access-to-sensitive-resources



    有効な間、プロジェクトのドキュメントには、プロジェクトのメンバーの役割と責任の説明を含めなければなりません。 [OSPS-GV-01.02]
    プロジェクトのソースコードリポジトリ内のmembers.md、governance.md、maintainers.md、または同様のファイルなどのアーティファクトを通じて、プロジェクト参加者とその役割を文書化します。

    SECURITY.md documents the roles and responsibilities. As the sole maintainer, Henrik Schack (@schack) is responsible for reviewing and merging pull requests, cutting and signing releases, keeping dependencies current, and triaging and resolving bug and security reports, with no other members or delegated roles at this time. See https://github.com/schack/pam-approver/blob/main/SECURITY.md#maintainers-and-access-to-sensitive-resources



    有効な間、プロジェクトのドキュメントには、受け入れ可能な貢献の要件を含むコード貢献者向けのガイドを含めなければなりません。 [OSPS-GV-03.02]
    プロジェクトドキュメントのCONTRIBUTING.mdまたはCONTRIBUTING/の内容を拡張して、コーディング標準、テスト要件、コードコントリビューターのための提出ガイドラインを含む、受け入れ可能な貢献の要件を概説します。このガイドがコントリビューターと承認者の両方にとって信頼できる情報源であることが推奨されます。

    アクティブな間、バージョン管理システムは、すべてのコードコントリビューターが、すべてのコミットで関連する貢献を行うことが法的に認められていると主張することを要求する必要があります。 [OSPS-LE-01.01]
    プロジェクトのリポジトリにDCOを含め、コードコントリビューターが、すべてのコミットで関連する貢献を行うことが法的に認められていると主張することを要求します。ステータスチェックを使用して、主張が行われたことを確認します。CLAもこの要件を満たします。GitHubなどの一部のバージョン管理システムでは、これがプラットフォームの利用規約に含まれている場合があります。

    Not currently enforced. pam-approver is a single-maintainer project: every human commit is authored by the maintainer, who is the copyright holder, so there is no third-party contribution whose legal provenance is in question. The remaining commits on the branch are automated (Dependabot, the Tailwind-update workflow, and release-drafter), which cannot meaningfully assert a DCO. No DCO or CLA sign-off requirement is in place today; one would be added before accepting external code contributions.



    プライマリブランチにコミットが行われる場合、コミットの自動ステータスチェックは、合格するか手動でバイパスされる必要があります。 [OSPS-QA-03.01]
    プロジェクトのバージョン管理システムを設定して、すべての自動ステータスチェックが合格するか、コミットがプライマリブランチにマージされる前に手動確認を要求するようにします。オプションのステータスチェックは、承認者がバイパスしたくなるような合格または不合格の要件として設定しないことが推奨されます。

    The primary branch (main) is protected by a GitHub repository ruleset that requires a pull request plus passing test and build status checks (from .github/workflows/cd.yml) before any change can merge, with strict up-to-date enforcement and no bypass actors. Status checks must pass for a change to land on main.



    コミットが受け入れられる前に、プロジェクトのCI/CDパイプラインは、変更が期待を満たすことを確認するために少なくとも1つの自動テストスイートを実行する必要があります。 [OSPS-QA-06.01]
    自動テストは、プライマリブランチへのすべてのマージの前に実行される必要があります。テストスイートはCI/CDパイプラインで実行され、結果はすべてのコントリビューターに表示される必要があります。テストスイートは一貫した環境で実行され、コントリビューターがローカルでテストを実行できるような方法で実行される必要があります。テストスイートの例には、ユニットテスト、統合テスト、エンドツーエンドテストが含まれます。

    Every pull request runs the test job in .github/workflows/cd.yml before it can be merged: it runs the shell test suite (tests/entrypoint_test.sh), the JS unit tests (node --test over tests/app.test.js), and the container header tests (tests/nginx_headers_test.sh), plus hadolint and shellcheck. The build job depends on test, and both are required status checks in the main branch ruleset, so no change is accepted to the primary branch unless the automated test suite passes.



    プロジェクトがリリースを行った場合、プロジェクトドキュメントは、システム内のすべてのアクションとアクターを示す設計ドキュメントを含む必要があります。 [OSPS-SA-01.01]
    プロジェクトドキュメントに、アクションとアクターを説明する設計を含めます。アクターには、システム内の別のセグメントに影響を与えることができるサブシステムまたはエンティティが含まれます。これが新機能や破壊的変更のために更新されることを確認してください。

    The README "How it fits together" section (https://github.com/schack/pam-approver#how-it-fits-together) documents the design with an architecture diagram and describes all actors and data flows: the approver (browser), IAP (gateway in front of the static nginx pod), Google Identity Services (browser-based OAuth), the Google PAM REST API (called directly from the browser with a Bearer token), and Google IAM (which enforces per-user authorization). The actions are documented too: sign in, list entitlements/pending grants, and approve or deny with a reason ("Approving grants" section). SECURITY.md "Security model" further documents the actors, the token flow, and the trust boundaries. Given there is no backend and no server-side state, these cover the full set of actors and actions in the system.



    プロジェクトがリリースを行った場合、プロジェクトドキュメントは、リリースされたソフトウェアアセットのすべての外部ソフトウェアインターフェースの説明を含む必要があります。 [OSPS-SA-02.01]
    リリースされたソフトウェアアセットのすべてのソフトウェアインターフェース(API)を文書化し、ユーザーがソフトウェアとどのように対話できるか、どのようなデータが期待または生成されるかを説明します。これが新機能や破壊的変更のために更新されることを確認してください。

    プロジェクトがリリースを行った場合、プロジェクトは、ソフトウェア内で発生する可能性のある最も可能性が高く、影響の大きい潜在的なセキュリティ問題を理解するためにセキュリティ評価を実行する必要があります。 [OSPS-SA-03.01]
    セキュリティ評価を実行することで、プロジェクトメンバーと下流の消費者の両方に、プロジェクトがソフトウェア内で発生する可能性のある問題を理解していることを知らせます。どのような脅威が実現する可能性があるかを理解することは、プロジェクトがリスクを管理および対処するのに役立ちます。この情報は、プロジェクトのセキュリティの能力と実践を示すために、下流の消費者にとって有用です。これが新機能や破壊的変更のために更新されることを確認してください。

    A security assessment of the system is documented across SECURITY.md "Security model" (https://github.com/schack/pam-approver/blob/main/SECURITY.md) and the README "Security posture" section (https://github.com/schack/pam-approver#security-posture). Because the app is a static single-page app with no backend, the most likely and impactful risks are identified and mitigated: client-side XSS (strict CSP with no unsafe-inline, output via textContent), credential exposure (no client secret or refresh tokens, public OAuth client ID, access token kept only in the browser and never written to the image), clickjacking (frame-ancestors none, X-Frame-Options DENY), authorization bypass (enforced by Google IAM on the PAM API, not the app, plus OAuth hd domain checks), injection into the rendered config.js (entrypoint.sh validates env values), and supply-chain risk (pinned/digest-locked dependencies, SBOM, cosign-signed images, Dependabot, Trivy/Scorecard scanning).



    アクティブな間、プロジェクトドキュメントは、明確な対応期間を持つ協調的脆弱性開示(CVD)のポリシーを含む必要があります。 [OSPS-VM-01.01]
    ディレクトリのルートにSECURITY.mdファイルを作成し、プロジェクトの協調的脆弱性開示のポリシーを概説します。脆弱性を報告する方法を含めます。プロジェクトが報告された問題にどのように対応および対処するかについての期待を設定します。

    SECURITY.md documents a coordinated vulnerability disclosure policy (https://github.com/schack/pam-approver/blob/main/SECURITY.md#reporting-a-vulnerability): vulnerabilities are reported privately via GitHub private vulnerability reporting or email (not public issues); the maintainer acknowledges within a few days; and once a fix is available a new image is published and the advisory is disclosed. This is coordinated (private until a fix ships) with a stated response timeframe.



    アクティブな間、プロジェクトドキュメントは、プロジェクト内のセキュリティ連絡先に直接脆弱性を非公開で報告する手段を提供する必要があります。 [OSPS-VM-03.01]
    セキュリティ研究者がプロジェクトに非公開で脆弱性を報告する手段を提供します。これは、専用の電子メールアドレス、ウェブフォーム、VCS専用ツール、セキュリティ連絡先の電子メールアドレス、またはその他の方法である可能性があります。

    SECURITY.md provides two private reporting channels directly to the security contact (https://github.com/schack/pam-approver/blob/main/SECURITY.md#reporting-a-vulnerability): GitHub private vulnerability reporting via the repository Security tab (enabled on the repo, so "Report a vulnerability" → https://github.com/schack/pam-approver/security/advisories/new works), and email to the maintainer at henrik@schack.dk. Reporters are explicitly asked not to open public issues.



    アクティブな間、プロジェクトドキュメントは、発見された脆弱性に関するデータを公開する必要があります。 [OSPS-VM-04.01]
    CVEエントリ、ブログ投稿、またはその他のメディアなど、予測可能な公開チャネルで既知の脆弱性に関する情報を提供します。可能な限り、この情報には、影響を受けるバージョン、消費者が脆弱かどうかを判断する方法、および緩和または修復の手順が含まれる必要があります。

    SECURITY.md states that once a fix is available, a new image is published and the advisory is disclosed (https://github.com/schack/pam-approver/blob/main/SECURITY.md#reporting-a-vulnerability). Disclosure uses GitHub Security Advisories on the repository, which are public, receive a GHSA identifier, and are syndicated to the GitHub Advisory Database. No vulnerabilities have been discovered to date, so none have needed publishing yet, but the channel (GitHub Security Advisories) and the documented practice to disclose after a fix are in place.



このデータは、Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0)のもとで利用可能です。これは、データ受領者が、データ受領者がこの契約のテキストを共有データとともに利用可能にする限り、変更の有無にかかわらずデータを共有できることを意味します。Henrik SchackおよびOpenSSFベストプラクティスバッジのコントリビューターにクレジットを表示してください。

プロジェクト バッジ登録の所有者: Henrik Schack.
エントリの作成日時 2026-06-23 19:20:33 UTC、 最終更新日 2026-06-27 03:40:02 UTC 最後に2026-06-27 03:40:02 UTCにバッジ合格を達成しました。