haggle

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

ソフトウェアに欠陥や脆弱性がないことを保証する手立てはありません。形式論的な証明ができたとしても、仕様や前提が間違っていると誤動作の可能性があります。また、プロジェクトが健全で、かつ機能的な開発コミュニティであり続けることを保証する手立てもありません。しかし、ベストプラクティスの採用は、プロジェクトの成果の向上に寄与する可能性があります。たとえば、いくつものベストプラクティスがリリース前の複数人によるレビューを定めていますが、それによりレビュー以外では発見困難な技術的脆弱性を見つけるのを助け、同時に異なる企業の開発者間の信頼を築き、さらに交流を続けることに対する意欲を生んでいます。バッジを獲得するには、すべてのMUSTおよびMUST NOT基準を満たさなければなりません。すべてのSHOULD基準も満たさなければなりませんが、正当な理由がある場合は満たさなくても構いません。そしてすべてのSUGGESTED基準も満たさなければなりませんが、満たさないとしても、少なくとも考慮することが望まれます。フィードバックは、 GitHubサイトのissueまたはpull requestとして提示されれば歓迎します。また、議論のためのメールリストも用意されています。

私たちは多言語で情報を提供していますが、翻訳版に矛盾や意味の不一致がある場合は、英語版を正式な記述とします。
これがあなたのプロジェクトなら、あなたのプロジェクトページにあなたのバッジステータスを表示してください!バッジステータスは次のようになります。 プロジェクト 13582 のバッジ レベルは silver です バッジステータスの埋め込み方法は次のとおりです。
バッジステータスを表示するには、あなたのプロジェクトのマークダウンファイルに以下を埋め込みます
[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/13582/badge)](https://www.bestpractices.dev/projects/13582)
あるいは、以下をHTMLに埋め込みます
<a href="https://www.bestpractices.dev/projects/13582"><img src="https://www.bestpractices.dev/projects/13582/badge"></a>


これらはシルバーレベルの基準です。合格またはゴールドレベル基準を表示することもできます。

Baseline Series: ベースラインレベル1 ベースラインレベル2 ベースラインレベル3

        

 基本的情報 17/17

  • 一般

    他のプロジェクトが同じ名前を使用していないか注意してください。

    AGL Australia smart meter -> Home Assistant Energy dashboard (Claude-generated custom integration)

    SPDXライセンスの表現形式を使用してください。 例:「Apache-2.0」、「BSD-2-Clause」、「BSD-3-Clause」、「GPL-2.0+」、「LGPL-3.0+」、「MIT」、「(BSD-2-Clause OR Ruby)」。一重引用符または二重引用符を含めないでください。
    複数の言語がある場合は、コンマを区切り(スペースを入れてもよい)としてリストし、使用頻度の高いものから順に並べます。使用言語が多くある場合は、少なくとも最初の3つの最も多く使われるものをリストアップしてください。言語がない場合(例:ドキュメントだけ、またはテスト専用のプロジェクトの場合)、1文字 " - "を使用します。言語ごとにある大文字・小文字の慣用を踏襲してください(例:「JavaScript」)。
    Common Platform Enumeration(CPE)は、情報技術(IT)システム、ソフトウェア、およびパッケージのための構造化された命名体系です。脆弱性を報告する際に、多くのシステムやデータベースで使用されています。
  • 前提要件


    プロジェクトは合格レベルバッジに達成しなければなりません。 [achieve_passing]

  • 基本的なプロジェクト ウェブサイトのコンテンツ


    貢献する方法に関する情報には、受け入れ可能な貢献の要件(例えば、必要なコーディング標準への言及)が含まれなければなりません。 (URLが必要です) [contribution_requirements]

    CONTRIBUTING.md (https://github.com/NaanyaBiz/haggle/blob/main/CONTRIBUTING.md) states the requirements for acceptable contributions: the mandatory dev loop (ruff lint/format, strict mypy, pytest, pre-commit) that CI re-runs and rejects failures on, enforced Conventional Commits with provenance trailers, a required PR checklist, and anonymisation rules for API fixtures. The referenced AGENTS.md carries the full coding-standard detail ("What NOT to Do", endpoint procedure).


  • プロジェクトの管理・運営


    プロジェクトは、プロジェクト ソフトウェアのそれなりの量を開発しているすべての開発者が、これらの貢献を行うことが法的に認められていると主張すりょうな法的な仕組みを持っていなければなりません。これを行うための最も一般的で簡単に実装されたアプローチは、開発者証明書(DCO)を使用することです。ユーザーは、 DCOのウェブサイトへのプロジェクトのリンクが表示されます。ただし、これはコントリビュータ ライセンス契約(CLA)またはその他の法的な仕組みとして実装することができます。 (URLが必要です) [dco]
    DCOは、実装が容易で、ソースコードで追跡され、gitが "commit -s"を使用して "サインオフ"機能を直接サポートするため、推奨されるメカニズムです。最も効果的であるためには、プロジェクト文書が、そのプロジェクトに対して「サインオフ」とは何を意味するのかを説明するのが最善です。 CLAは、知的著作物が組織またはプロジェクトにライセンスされている条件を定義する法的合意です。コントリビュータ アサイン アグリーメント(CAA)は、知的著作物の権利を他の当事者に移転する法的合意です。プロジェクトはCAAを必ずしも持つ必要はありません。なぜなら、CAAは、特に受領者が営利目的の組織である場合には、潜在的な貢献者が貢献しないリスクを高めます。 Apache Software Foundation CLA(個々のコントリビュータ ライセンスと法人CLA)は、この種のCLAのリスクを判断するプロジェクトにとって、リスクが便益よりも小さいのCLAの例です。

    CONTRIBUTING.md contains an inbound=outbound licensing statement ("By contributing, you agree your work is licensed under the project's Apache-2.0 license") but no mechanism by which contributors assert they are legally authorized to make their contributions - there is no DCO sign-off requirement, no link to the Developer Certificate of Origin, and no CLA; commit history does not carry Signed-off-by trailers.



    プロジェクトは、プロジェクト ガバナンス モデル(主要な役割を含む意思決定方法)を明確に定義し、文書化しなければなりません。 (URLが必要です) [governance]
    決定を下し、論争を解決するための十分に確立された文書化された方法が必要です。小規模なプロジェクトでは、これは「プロジェクトオーナーとリーダーがすべての最終決定を下す」という単純なものです。慈愛の強い独裁者や正式な能力主義を含む様々な統治モデルが存在します。詳細については、統治モデルを参照してください。集中化された(例えば、単一メインテナー)および分散された(例えば、グループ メインテナー)アプローチの両方が、プロジェクトにおいて成功のうちに使用されています。統治情報は、プロジェクトフォークを作成する可能性について文書化する必要はありません。なぜなら、これはFLOSSプロジェクトでは常に可能であるからです。

    The governance model is documented plainly as single-maintainer: CONTRIBUTING.md (https://github.com/NaanyaBiz/haggle/blob/main/CONTRIBUTING.md) states the single-maintainer model and the issue-first contribution process, .github/CODEOWNERS routes every change to the maintainer (* @naanyabiz), and SECURITY.md's risk-acceptance register states the key role explicitly: "the same person authors, triages, and accepts every exception in this project - self-acceptance is the operating model of a single-maintainer repository" (https://github.com/NaanyaBiz/haggle/blob/main/SECURITY.md). AGENTS.md's "Human-approved boundary" section documents that every merge, tag, and release requires the maintainer's live decision.



    プロジェクトは、行動規範を採択し、標準的な場所に掲示しなければなりません。 (URLが必要です) [code_of_conduct]
    プロジェクトは、地域社会の礼儀正しさを向上させることと、行動規範を採択することで受け入れられる行動についての期待を設定すること、ができるかもしれません。これにより、問題が発生する前に問題を回避し、プロジェクトをより貢献を促す場所にすることができます。これは、プロジェクトのコミュニティ内や職場内の行動にのみ焦点を当てるべきです。行動規範の例としては、以下のようなものがあります。Linuxカーネル行動規範コントリビューター規約行動規範Debian行動規範Ubuntu行動規範Fedora行動規範GNOME行動規範KDEコミュニティ行動規範Pythonコミュニティ行動規範Rubyコミュニティ行動指針、およびRust 行動規範

    The project has adopted the Contributor Covenant 2.1 as its code of conduct, posted at the standard location https://github.com/NaanyaBiz/haggle/blob/main/CODE_OF_CONDUCT.md. It states scope and enforcement and includes a private reporting contact (security@naanya.biz) with a 5-business-day acknowledgement commitment.



    プロジェクトは、プロジェクトでの重要な役割と役割が実行しなければならないタスクを含む責任を明確に定義し、公的に文書化しなければなりません。誰がどの役割を持っているかは明確でなければなりませんが、これは同じ方法で文書化されていない可能性があります。 (URLが必要です) [roles_responsibilities]
    統治と役割と責任に関する文章は1か所にあるのが良いでしょう。

    The project publicly documents its role structure: .github/CODEOWNERS assigns ownership of everything to @naanyabiz, SECURITY.md states plainly that the same person authors, triages, releases, and accepts every exception ("self-acceptance is the operating model of a single-maintainer repository"), and AGENTS.md section Provenance enumerates every AI tool operating on the repo with its role and scope plus the human-approved boundary (merging, tagging, and releasing always require the maintainer). The committed conformance map (https://github.com/NaanyaBiz/haggle/blob/main/docs/compliance/conformance.md) records under CO-1 that all role functions collapse into the named owner, so it is unambiguous who holds which role.



    いずれかの人が仕事を継続できなくなるまたは死亡した場合、プロジェクトは最小限の中断で継続することができなければなりません。特に、プロジェクトは、課題の作成と終了、提案された変更の受け入れ、およびバージョンのソフトウェアのリリース、1週間内に個人が仕事を継続できくなったことまたは死亡したことの確認、行うことができなければならない。これは、他の誰かがプロジェクトを継続するのに必要な鍵、パスワード、法的権利を持っていることを保証することによって行うことができます。 FLOSSプロジェクトを実行する個人は、ロックボックスにキーを提供し、必要な法的権利を提供する意志(例えば、DNS名のために)を提供することによって、これを行うことができます。 (URLが必要です) [access_continuity]

    The project documents a continuity and succession plan in SECURITY.md (section "Continuity and succession"): on the maintainer's death or permanent departure, ownership of the GitHub account/repository and the ed25519 release-signing key passes to next of kin per the maintainer's will, and a digital-legacy arrangement grants next of kin identity access to operate, wind down, or transfer the project. Risk-acceptance RA-04 records the residual (estate-administration latency; the living-incapacity gap). https://github.com/NaanyaBiz/haggle/blob/main/SECURITY.md



    プロジェクトは2以上の "バス ファクタ"を持っているべきです。 (URLが必要です) [bus_factor]
    「バス ファクタ」(別名「トラック ファクタ」)は、知見があり有能な人材が離脱して、プロジェクトが停止に至る時に、プロジェクトから突然消失する(「バスに当たった」)プロジェクトメンバーの最小人数です。 トラック ファクタツールは、GitHub上のプロジェクトに対してこれを見積もることができます。詳細については、Cosentino et al。の Gitリポジトリのバス ファクタの評価を参照してください。

    The project has a bus factor of 1: a single maintainer authors, reviews, and releases everything. This is recorded openly as risk-acceptance RA-04 in SECURITY.md (https://github.com/NaanyaBiz/haggle/blob/main/SECURITY.md), with the public Apache-2.0 licence, AGENTS.md as a succession document, and attested releases as the compensating controls.


  • ドキュメンテーション


    プロジェクトは、少なくとも翌年に、プロジェクトが何をしたいか、やるつもりはないかを記述した文書化されたロードマップを持っていなければなりません。 (URLが必要です) [documentation_roadmap]
    このプロジェクトはロードマップを達成できないかもしれません。それは問題ありません。ロードマップの目的は、潜在的なユーザーや貢献者がプロジェクトの意図された方向を理解するのを助けることです。詳細にする必要はありません。

    ROADMAP.md documents the project's direction for roughly the next 12 months and its explicit non-goals (single-retailer AGL only; electricity and solar feed-in only; read-only Energy-dashboard import; no telemetry, device control, or portal scraping). https://github.com/NaanyaBiz/haggle/blob/main/ROADMAP.md



    プロジェクトは、プロジェクトによって作成されたソフトウェアのアーキテクチャー(いわゆる高水準設計)の文書を含まなければなりません。プロジェクトでソフトウェアが作成されない場合は、「該当なし」(N/A)を選択します。 (URLが必要です) [documentation_architecture]
    ソフトウェア アーキテクチャは、プログラムの基本的な構造、すなわちプログラムの主な構成要素、それらの間の関係、およびこれらの構成要素および関係の主要な特性を説明します。

    docs/threat-model.md section 1 "System description" (https://github.com/NaanyaBiz/haggle/blob/main/docs/threat-model.md) documents the high-level design, including a core data-flow diagram (browser -> config flow -> AGL Auth0 -> coordinator/parser -> HA recorder -> diagnostics) and the trust boundaries between components. AGENTS.md's "Repo Map" (https://github.com/NaanyaBiz/haggle/blob/main/AGENTS.md) describes every major component (config_flow, coordinator, sensor, diagnostics, agl client/parser/pinning) with its role and relationships, and the "Energy Dashboard Contract" section documents the key statistics-interface properties.



    プロジェクトは、ユーザーが、プロジェクトによって作成されたソフトウェアからセキュリティの観点から期待できるものと期待できないものを文書化しなければなりません。(セキュリティ要件) (URLが必要です) [documentation_security]
    これらは、ソフトウェアが満たすことが意図されているセキュリティ要件です。

    https://github.com/NaanyaBiz/haggle/blob/main/SECURITY.md documents what users can and cannot expect: the data handled and impact assessment, token storage (including the explicit statement that the OAuth refresh token is plaintext at rest on the HA host, with host-FDE guidance), warn-only TLS SPKI pin-mismatch behaviour, supported versions, and what is in/out of scope. The full per-boundary security requirements, data classification, and resilience targets are in the committed threat model, https://github.com/NaanyaBiz/haggle/blob/main/docs/threat-model.md (sections 2, 3 and 8).



    プロジェクトでは、新規ユーザーがソフトウェアで何かをすばやく実行できるようにするための「クイックスタート」ガイドを提供する必要があります。 (URLが必要です) [documentation_quick_start]
    このアイデアは、ユーザーにソフトウェアを始動させる方法と何かをさせる方法を示すことです。これは潜在的なユーザーが開始するために非常に重要です。

    The README's Install section (https://github.com/NaanyaBiz/haggle/blob/main/README.md) is a five-step quick start taking a new user from HACS install to a working configured integration, including the browser-based AGL login step, and is followed by an Energy-dashboard section telling users exactly which statistics to add; a full setup guide lives at docs/energy-dashboard.md.



    プロジェクトは、現行バージョンのプロジェクト結果(プロジェクトによって作成されたソフトウェアを含む)とドキュメントの整合性を保つために努力しなければならない。 不一致を招く既知のドキュメントの欠陥は、修正しなければなりません。ドキュメントが一般的に最新のものですが、古い情報が誤って含まれて、もはや正しくない場合は、それを欠陥として扱い、通常どおりに追跡して修正してください。 [documentation_current]
    ドキュメントには、ソフトウェアのバージョン間の相違点や変更点、および/またはドキュメントの古いバージョンへのリンクに関する情報が含まれていてもよいです。この基準の意図は、ドキュメントが完璧である必要があることではなく、ドキュメントの一貫性を保つための努力がなされていることです。

    Documentation currency is enforced per-PR: AGENTS.md's "Documentation Checklist - Required on Every PR" mandates updating the CHANGELOG, repo map, API facts, and security docs with every code change (https://github.com/NaanyaBiz/haggle/blob/main/AGENTS.md). Known documentation defects are corrected when found - SECURITY.md's storage section explicitly retracts an earlier incorrect claim that HAOS encrypts data at rest, and a README version-rot defect was fixed by policy (no hardcoded version strings; a shields.io release badge instead).



    プロジェクトのリポジトリのフロントページおよび/またはウェブサイトは、このベストプラクティスのバッジを含め、成果が達成されたことを一般に認められてから48時間以内に特定し、ハイパーリンクする必要があります。 (URLが必要です) [documentation_achievements]
    達成とは、いくつかのバッジを含めて、プロジェクトが具体的に満たしている外部基準のセットです。この情報は、プロジェクトのウェブサイトのフロントページにある必要はありません。 GitHubを使用するプロジェクトは、READMEファイルに追加することで、リポジトリのフロントページに成果を置くことができます。

    The repository front page README (https://github.com/NaanyaBiz/haggle/blob/main/README.md) displays hyperlinked achievement badges at the top: the OpenSSF Best Practices badge (project 13582, linking to bestpractices.dev), the OpenSSF Scorecard badge (linking to the scorecard.dev viewer), and the latest-release badge. The Best Practices badge was added the same day the passing badge was earned (2026-07-12, PR #172).


  • アクセシビリティと国際化


    プロジェクト(プロジェクト サイトとプロジェクト結果の両方)は、アクセシビリティのベストプラクティスに従い、障害のある人が引き続きプロジェクトに参加し、プロジェクトの結果を合理的な範囲で使用することができるようにするべきです。 [accessibility_best_practices]
    ウェブアプリケーションについては、ウェブ コンテンツ アクセシビリティ ガイドライン(WCAG 2.0)とそのサポート ドキュメント WCAG 2.0の理解; W3Cアクセシビリティ情報を参照してください。 GUIアプリケーションの場合は、環境固有のアクセシビリティ ガイドラインの使用を検討して下さい(GnomeKDEXFCE Android bility/ios/" > iOS Mac Windows )。いくつかのTUIアプリケーション(例えば、「ncurses」プログラム)は、「alpine」の 「force-arrow-cursor」設定のような、よりアクセスしやすくするためにいくつかのことを行うことができます。ほとんどのコマンドライン アプリケーションは、そのままの状態でかなりアクセス可能です。この基準は、例えば、プログラム ライブラリの場合、「該当なし」(N/A)であることが多いです。取り上げるべき行動や考慮すべき課題の例を以下に示します。
    • テキスト以外のコンテンツの代替テキストを提供するkotode, 人々が必要とする他の形式に変更することができます。大きな印刷物、点字、スピーチ、記号またはより単純な言語などです。( WCAG 2.0ガイドライン1.1
    • アクションを示したり、応答を促したり、または視覚的要素を区別するために、色が唯一の視覚的な伝達手段として使用されるわけではありません。( WCAG 2.0ガイドライン1.4.1
    • 大文字、付随的なテキストとロゴタイプを除いて、テキストの視覚的提示とテキストのイメージには、少なくとも4.5:1の比率のコントラストがあります( WCAG 2.0ガイドライン1.4.3
    • キーボードからすべての機能を利用できるようにする(WCAGガイドライン2.1)
    • GUIまたはウェブ ベースのプロジェクトは少なくとも1つターゲットプラットフォーム上のスクリーンリーダーでテストするべきです(例えば、NVDA、Jaws、またはWindows上のWindowEyes; MacとiOSのVoiceOver Linux / BSDのOrca;AndroidのTalkBack)。 TUIプログラムは、スクリーンリーダーによる冗長な読み取りを防止するために、オーバードローを減らせるかもしれません。

    The project ships no user interface of its own: it is a headless Home Assistant integration whose config flow, sensors, and Energy-dashboard statistics are all rendered by Home Assistant's standard frontend (the integration contributes only strings.json/translations, no HTML/JS/frontend assets), and accessibility of that UI is owned upstream by Home Assistant. Project documentation is plain Markdown rendered by GitHub.



    プロジェクトによって作成されたソフトウェアは、ターゲット オーディエンスの文化、地域、または言語へのローカリゼーションを容易にするために国際化されるべきです。国際化(i18n)が適用されない場合(たとえば、ソフトウェアがエンドユーザー向けのテキストを生成せず、人間が読めるテキストを扱わない場合)、「該当なし」(N/A)を選択します。 [internationalization]
    ローカリゼーションとは、「特定のターゲット市場(ロケール)の言語、文化、およびその他の要件を満たす、製品、アプリケーションまたはドキュメントのコンテンツの適合を指します」。国際化とは、「文化、地域、言語によって異なるターゲットオーディエンスに対してローカライズを容易にする製品、アプリケーション、またはドキュメントコンテンツの設計と開発」のことです。 ( W3Cの「ローカリゼーションと国際化」を参照してください。)ソフトウェアは国際化されるだけでこの基準を満たします。いったんソフトウェアが国際化されると、他の人がローカライゼーションに取り組むことができるので、別の特定の言語のローカリゼーションは必要ありません。

    User-facing text is externalized through Home Assistant's standard translation framework: custom_components/haggle/strings.json (https://github.com/NaanyaBiz/haggle/blob/main/custom_components/haggle/strings.json) holds all config-flow, error, and entity strings, mirrored in translations/en.json - localizing to another language is a matter of adding a translations/<lang>.json file. Only English is currently provided.


  • その他


    プロジェクト サイト(ウェブサイト、リポジトリ、およびダウンロードURL)が外部ユーザーの認証用のパスワードを格納する場合、パスワードは、キーストレッチ(反復)アルゴリズム(PBKDF2、Bcrypt、Scrypt、PBKDF2など)を使用してユーザーごとのソルトで反復ハッシュとして保存する必要があります。プロジェクトサイトがこの目的のためにパスワードを保存しない場合は、「該当なし」(N/A)を選択します。 [sites_password_security]
    GitHub の使用はこの基準を満たしていることに注意してください。この基準は、プロジェクト サイトへの外部ユーザーの認証に使用されるパスワードにのみ適用されます(別名インバウンド認証)。プロジェクト サイトが他のサイトにログインしなければならない場合(別名:アウトバウンド認証)、その目的のために別の方法で認証トークンを保存する必要があるかもしれません(ハッシュを保存しても意味がないため)。これは、crypto_password_storage の基準を sites_httpsと同様にプロジェクトサイトに適用します。

    All project sites (repository, issue tracker, releases, security advisories) are hosted on GitHub, which handles external-user authentication and stores passwords per this criterion; the project operates no site of its own that stores passwords.


 変更管理 1/1

  • 以前のバージョン


    プロジェクトは、最も頻繁に使用される古いバージョンの製品を維持するか、または新しいバージョンへのアップ グレードを提供しなければなりません。アップ グレード方法が困難な場合は、プロジェクトは、アップグレード方法(変更されたインターフェイスや、アップグレードに役立つ詳細な手順など)を記載しなければなりません。 [maintenance_or_update]

    SECURITY.md section Supported Versions states the latest tagged release on main is the only supported version, with upgrades surfaced to users automatically via HACS. The README's "Rollback / downgrade" section (https://github.com/NaanyaBiz/haggle/blob/main/README.md) documents that any prior release can be reinstalled via HACS, that config entries are downgrade-safe and statistics survive in both directions, and docs/releasing.md requires a recorded manual downgrade test with each stable release.


 報告 3/3

  • バグ報告プロセス


    プロジェクトは、個々の課題を追跡するための課題トラッカーを使用する必要があります。 [report_tracker]

    The project tracks individual issues on the GitHub issue tracker at https://github.com/NaanyaBiz/haggle/issues, declared machine-readably in the integration manifest ("issue_tracker" in https://github.com/NaanyaBiz/haggle/blob/main/custom_components/haggle/manifest.json) and in pyproject.toml project URLs. CONTRIBUTING.md requires an issue-first workflow and AGENTS.md defines a triaged label taxonomy (P1-P3 priority, sev:high/med/low, escaped) consumed by the release flow and quarterly delivery metrics.


  • 脆弱性報告プロセス


    プロジェクトは、匿名の報告者を除いて、過去12ヶ月間に解決されたすべての脆弱性の報告者に信用していることを伝えなければなりません。過去12ヶ月間に解決された脆弱性がない場合は、「該当なし」(N / A)を選択します。 (URLが必要です) [vulnerability_report_credit]

    No vulnerability reports have been received or resolved in the last 12 months (the project is only a few months old); SECURITY.md's "Hall of Fame" section explicitly reads "(none yet - be the first.)". SECURITY.md commits to crediting reporters in release notes and the Hall of Fame unless anonymity is requested (https://github.com/NaanyaBiz/haggle/blob/main/SECURITY.md). The one CVE fix in CHANGELOG (idna, dev-only lockfile) came via automated Dependabot monitoring, not an external report to this project.



    プロジェクトには、脆弱性レポートに対応するための文書化されたプロセスがなければなりません。 (URLが必要です) [vulnerability_response_process]
    これはvulnerability_report_processに強く関連しており、脆弱性を報告するための文書化された方法が必要です。これは、特定の時間枠内の脆弱性レポートへの応答を必要とする、vulnerability_report_responseにも関連しています。

    https://github.com/NaanyaBiz/haggle/blob/main/SECURITY.md documents the full response process: private reporting via GitHub Private Security Advisories or security@naanya.biz, acknowledgement within 5 business days, graduated response targets by severity (critical 72 h / high 7 days / moderate-low 30 days), a self-escalation forcing function honest about the single-maintainer bound, a coordinated-disclosure window (14 days), and the known-vulnerable-release procedure (GHSA advisory, superseding release, HACS delisting).


 品質 19/19

  • コーディング標準


    プロジェクトは、使用する主要な言語のための特定のコーディング スタイル ガイドを指定しなければなりませんし、貢献が一般にそれに準拠することを要求しなければなりません。 (URLが必要です) [coding_standards]
    ほとんどの場合、これはいくつかの既存のスタイル ガイドを参照し、おそらく差異をリストすることによって行われます。これらのスタイル ガイドには、可読性を向上させる方法や、欠陥(脆弱性を含む)の可能性を減らす方法が含まれています。多くのプログラミング言語には、広く使用されているスタイル ガイドが1つ以上あります。スタイルガイドの例には、 Googleスタイル ガイド SEI CERTコーディング標準を参照してください。

    CONTRIBUTING.md requires contributions to pass the documented dev loop - ruff check, ruff format, and strict mypy - before pushing (https://github.com/NaanyaBiz/haggle/blob/main/CONTRIBUTING.md). The specific style configuration is committed in pyproject.toml ([tool.ruff] with 17 rule families, line-length 88, isort ordering; [tool.mypy] strict = true) (https://github.com/NaanyaBiz/haggle/blob/main/pyproject.toml), and .github/workflows/ci.yml enforces ruff check, ruff format --check, and mypy as part of a required PR status check.



    選択した言語において行うことができるFLOSSツールが少なくとも1つあれば、プロジェクトは自動的に選択したコーディングスタイルを適用しなければなりません。 [coding_standards_enforced]
    これは、静的解析ツールを使用して、および/またはコード再フォーマットを介してコードを強制することによって実装することができます。多くの場合、ツールの設定は、プロジェクトのリポジトリに含まれます(プロジェクトによって異なる設定が選択される可能性があるため)。プロジェクトはスタイルの例外を許可するかもしれません(通常はそうなります)。例外が発生した場合は、それらの場所のコードでまれで、文書化されていなければなりませんので、それらの例外が再検討され、ツールが将来自動的にそれらを処理できるようにできます。このようなツールの例には、ESLint(JavaScript)、Rubocop(Ruby)、および devtools check (R)があります。

    Coding style is enforced automatically by FLOSS tools: ruff lint, ruff format --check, and mypy run on every push and pull request in CI (https://github.com/NaanyaBiz/haggle/blob/main/.github/workflows/ci.yml, steps at lines 41-48), and the containing 'Test (Python 3.14)' job is one of eight required status checks under the zero-bypass protect-main ruleset, so a style violation blocks merge. The selected style is committed in pyproject.toml ([tool.ruff]) and also enforced locally via pre-commit hooks.


  • 作業ビルドシステム


    ネイティブ バイナリのビルドシステムは、それらに渡される関連するコンパイラおよびリンカ(環境)変数(CC、CFLAGS、CXX、CXXFLAGS、LDFLAGSなど)を受け入れ、コンパイラおよびリンカ呼び出しに渡す必要があります。ビルド システムは追加のフラグでそれらを拡張するかもしれません。提供された値を単にそれ自身のものに置き換えてはいけません。ネイティブバイナリが生成されていない場合は、「該当なし」(N/A)を選択します。 [build_standard_variables]
    Address Sanitizer(ASAN)などの特別なビルド機能を有効にしたり、ディストリビューション強化のベストプラクティスに準拠したりするのは簡単です(コンパイラフラグを簡単にオンにするなどして)。

    The project is a pure-Python Home Assistant custom integration: manifest.json declares "requirements": [] and the hatchling build backend produces no native binaries, so no compiler or linker is ever invoked and CC/CFLAGS-style variables have no referent.



    ビルドとインストール システムは、関連するフラグ(例えば、 "install -s"が使用されていない)で要求されたデバッグ情報を保存しておくべきです。ビルドやインストール システムがない場合(例:一般的なJavaScriptライブラリ)は、「該当なし」(N/A)を選択します。 [build_preserve_debug]
    すなわち、CFLAGS(C)またはCXXFLAGS(C ++)を設定すると、それらの言語が使用されている場合に、関連デバッグ情報が作成されるべきですし、インストール時には削除するべきではありません。デバッグ情報は、サポートと分析のために必要であり、コンパイルされたバイナリのハードニング機能の存在を測定するのにも役立ちます。

    The release build (https://github.com/NaanyaBiz/haggle/blob/main/.github/workflows/release.yml, "Build release artifact" step) zips the unmodified Python source of custom_components/haggle, excluding only pycache/.pyc; HACS installs that zip as-is. Nothing is stripped, minified, or compiled, so full source-level debugging information (readable source, tracebacks with line numbers) is always preserved in what users install.



    プロジェクトによって作成されたソフトウェアのビルド システムは、サブディレクトリに相互依存関係がある場合、再帰的にサブディレクトリをビルドしてはなりません。ビルドやインストール システムがない場合(例:一般的なJavaScriptライブラリ)は、「該当なし」(N/A)を選択します。 [build_non_recursive]
    プロジェクトのビルド システムの内部依存情報は、正確でなければなりません。そうでないと、プロジェクトへの変更が正しくビルドされないことがあります。ビルドが正しくないと、欠陥(脆弱性を含む)が発生する可能性があります。大規模ビルドシステムでよく見られる間違いは、ソースファイルを含むサブディレクトリの階層で、各サブディレクトリが独立してビルドされるとき、「再帰的ビルド」か「再帰的Make」を使用することです。各サブディレクトリが完全に独立していない限り、依存関係の情報が正しくないため、これらを使用することは間違いです。

    The only build step is a single, flat packaging step in the release workflow: release.yml zips the contents of custom_components/haggle/ into haggle.zip in one command, then generates SBOMs and attestations from that artifact (https://github.com/NaanyaBiz/haggle/blob/main/.github/workflows/release.yml). There are no subdirectory builds, no Makefile recursion, and no cross-directory build dependencies; the integration is pure Python with zero compiled components.



    プロジェクトは、ソースファイルから情報を生成するプロセスを繰り返すことができなければならず、ビット単位でまったく同じ結果を得ることができなければなりません。ビルドが発生しない場合(例えば、ソースコードをコンパイルする代わりに直接使用するスクリプト言語)は、「該当なし」(N/A)を選択します。 [build_repeatable]
    GCCとclangのユーザーには、-frandom-seedオプションが有用であるかもしれません。場合によっては、ソート順を強制することで解決できます。 再現可能なビルドサイトで、より多くの提案を見つけることができます。

    Not applicable: haggle is a pure-Python Home Assistant custom integration whose source is used directly - HACS extracts the release archive and Home Assistant imports the .py files unchanged, so there is no compilation or build step to reproduce bit-for-bit. The criterion explicitly permits N/A where source is used directly rather than compiled.


  • インストールシステム


    プロジェクトは、プロジェクトで作成されたソフトウェアを一般的に使用されているやり方で簡単にインストールおよびアンインストールする方法を提供する必要があります。 [installation_common]
    たとえば、パッケージマネージャー(システムまたは言語レベル)、「make install / uninstall」(DESTDIRをサポート)、標準形式のコンテナー、または標準形式の仮想マシンイメージを使用することが挙げられます。インストールとアンインストールのプロセス(たとえば、パッケージング)は、FLOSSである限り、サードパーティによって実装されてもよいです。

    The integration is distributed via HACS (the Home Assistant community package manager) and is in the HACS default store; README section Install documents the install (HACS -> search Haggle -> Download -> restart) and section Removing documents uninstall via HA's Settings -> Devices & Services, including a best-effort revocation of the stored OAuth grant on removal (https://github.com/NaanyaBiz/haggle/blob/main/README.md). hacs.json configures the attested zip_release asset that HACS installs.



    エンドユーザ用のインストール システムは、インストール時にビルドされる生成物が書き込まれる場所を選択するための標準的な規則を守らなければなりません。たとえば、POSIXシステムにファイルをインストールする場合は、DESTDIR環境変数を守らなければなりません。インストール システムがない場合や標準的な規約がない場合は、「該当なし」(N / A)を選択します。 [installation_standard_variables]

    The installation system is HACS, which installs the integration into Home Assistant's standard custom_components/ location inside the user-chosen HA configuration directory - the platform's standard convention for install location (install and rollback steps documented at https://github.com/NaanyaBiz/haggle/blob/main/README.md#install). Nothing is compiled, so no DESTDIR-style build-time relocation applies to this artifact type; the install location follows the ecosystem convention exactly.



    プロジェクトは、潜在的な開発者がすべてのプロジェクト結果を迅速にインストールし、テストやテスト環境を含む変更を行うために必要な環境を迅速にインストールする方法を提供しなければなりません。これは、一般に使用されている手法で実行する必要があります。 [installation_development_quick]
    これは生成されたコンテナおよび/またはインストール スクリプトを使用して実装できます。外部依存部分は、典型的には、external_dependenciesごとにシステムおよび/または言語パッケージマネージャを呼び出すことによってインストールされます。

    CONTRIBUTING.md section Dev loop (https://github.com/NaanyaBiz/haggle/blob/main/CONTRIBUTING.md) documents a one-command setup - uv sync installs the complete dev and test environment from the hash-pinned uv.lock - followed by uv run pytest / ruff / mypy / pre-commit, matching what CI runs. A committed .devcontainer/devcontainer.json additionally provides a ready-made containerized dev environment with uv preinstalled.


  • 外部で維持管理されるコンポーネント


    プロジェクトは、外部依存関係をコンピュータ処理可能な方法でリストしなければなりません。 (URLが必要です) [external_dependencies]
    通常、これはパッケージ マネージャーやビルドシステムのやり方を使用して行われます。これは installation_development_quick の実装に役立ちます。

    Runtime dependencies are declared machine-readably in https://github.com/NaanyaBiz/haggle/blob/main/custom_components/haggle/manifest.json ("requirements": [] - the integration deliberately ships zero packages; everything it imports is vendored and pinned by Home Assistant core, as documented in SECURITY.md's supply-chain section). Development/test dependencies are declared in https://github.com/NaanyaBiz/haggle/blob/main/pyproject.toml and hash-pinned in uv.lock; Dependabot processes both the pip and github-actions ecosystems weekly.



    プロジェクトは、既知の脆弱性を検出し、悪用可能な脆弱性を修正したり、悪用できない脆弱性として確認するために、外部の依存先(コンビニエンス コピーを含む)を監視または定期的にチェックしなければなりません。 [dependency_monitoring]
    これは、 OWASPのDependency-Check SinatypeのNexus Auditor SynopsysのBlack Duck Software Composition Analysis Bundler-audit (Rubyの場合)などのオリジンアナライザー/依存性検査ツールを使用して行うことができます。パッケージ マネージャーには、これを行うためのメカニズムが含まれています。コンポーネントの脆弱性を悪用することはできない場合、分析が難しいが、単に更新または修正する方が簡単なであれば、それは許容できます。

    Dependabot runs weekly on both the pip lockfile and github-actions ecosystems (https://github.com/NaanyaBiz/haggle/blob/main/.github/dependabot.yml), and every PR is gated by a required "Dependency review" check (actions/dependency-review-action, fail-on-severity: moderate, vulnerability-check: true) in ci.yml. SECURITY.md documents the triage ladder for alerts (critical 72 h / high 7 d / rest 30 d) and the exploitability analysis: manifest.json ships zero runtime requirements, so lockfile CVEs are dev/CI-only and are triaged on that recorded basis.



    プロジェクトは
    1. 再使用された外部管理コンポーネントの識別と更新を容易にできるようにしている、 または
    2. システムまたはプログラミング言語によって提供される標準コンポーネントを使用している
    のどちらかでなければなりません。そうすれば、再利用されたコンポーネントに脆弱性が見つかった場合に、そのコンポーネントを簡単に更新することができます。 [updateable_reused_components]
    この基準を満たす典型的な方法は、システムおよびプログラミング言語のパッケージ管理システムを使用することです。多くのFLOSSプログラムは、標準ライブラリーのローカルコピーである "コンビニエンス ライブラリー"と一緒に頒布されます(フォークされている可能性があります)。それ自体は、それでいいです。しかし、プログラムがこれらのローカルな(フォークされた)コピーを使用しなければならない場合、 セキュリティ アップデートとして"標準"ライブラリをアップデートすると、これらの追加のコピーは依然として脆弱のままです。これは、特にクラウド ベース システムの問題です。クラウド プロバイダが "標準"ライブラリを更新してもプログラムがそれらを使用しない場合、更新プログラムは実際には役に立ちません。たとえば、「Chromium:適切なパッケージとしてFedoraにまだない理由は何ですか?」Tom Callaway著を参照してください。

    The shipped integration reuses only components vendored and version-pinned by Home Assistant core - https://github.com/NaanyaBiz/haggle/blob/main/custom_components/haggle/manifest.json declares "requirements": [] - so users receive standard platform-provided components. Development dependencies are enumerated in pyproject.toml and hash-locked per artifact in uv.lock, and https://github.com/NaanyaBiz/haggle/blob/main/.github/dependabot.yml runs weekly grouped update PRs for both the pip and github-actions ecosystems.



    プロジェクトは、使用するテクノロジ セット(その "テクノロジ スタック")において、プロジェクトがサポートするユーザの超大多数がFLOSSの代替案を利用可能な(ユーザが代替手段にアクセスしている)場合には、評価の低いまたは時代遅れの機能とAPIの使用を避けるべきです。 [interfaces_current]

    Ruff's pyupgrade (UP), flake8-async (ASYNC), and bugbear (B) rule families are enabled in pyproject.toml and gate every PR, flagging obsolete Python idioms and deprecated patterns (https://github.com/NaanyaBiz/haggle/blob/main/pyproject.toml); pytest runs with filterwarnings = "error" so deprecation warnings from the project's own code fail the suite (upstream homeassistant DeprecationWarnings are the only scoped exception). A weekly compat workflow additionally runs the full suite against the latest Home Assistant releases including betas to catch upcoming upstream deprecations early (https://github.com/NaanyaBiz/haggle/blob/main/.github/workflows/compat.yml).


  • 自動テスト スイート


    少なくとも1つのブランチの共有リポジトリへの各チェックインに対して、自動テスト スイートが適用される必要があります。このテスト スイートは、テストの成功または失敗に関するレポートを生成しなければなりません。 [automated_integration_testing]
    この要件は、test_continuous_integrationのサブセットと見ることができますが、継続的な統合を範囲外として、テストだけに焦点を当てています。

    The full automated test suite (pytest, with a combined line+branch coverage floor of 89% enforced via --cov-fail-under) runs on every push to main and every pull request via https://github.com/NaanyaBiz/haggle/blob/main/.github/workflows/ci.yml, producing a success/failure report as a GitHub check run on each commit; the check is required for merge by the protect-main ruleset.



    プロジェクトは、過去6ヶ月以内に修正されたバグの少なくとも50%について、自動テスト スイートに回帰テストを追加しなければなりません。 [regression_tests_added50]

    The committed test strategy (https://github.com/NaanyaBiz/haggle/blob/main/docs/testing.md) requires that every escaped defect gets a named, pinned regression test and lists the existing pins (e.g. test_uses_outer_consumption_quantity_not_inner_values, test_baseline_looked_up_at_earliest_fetched_hour, test_band_reachback_baseline_after_long_absence). Verified in git history: 14 of the 16 integration-code bug-fix commits in the last six months (~87%) included automated-test additions or changes in the same commit, well above the 50% threshold.



    プロジェクトは、選択された言語でこの基準を測定できる少なくとも1つのFLOSSツールがある場合、少なくとも80%のステートメントカバレッジを提供するFLOSS自動テストスイートを備えていなければなりません。 [test_statement_coverage80]
    gcov/lcov、Blanket.js、Istanbul、JCov、covr (R) など、多くのFLOSSツールが、テストカバレッジを測定できます。この基準を満たすことは、テスト スイートが徹底していることを保証するものではないですが、それよりも、この基準を満たさないことは、貧弱なテスト スイートであることを示す強い指標であることに注意してください。

    The FLOSS test suite (pytest + coverage.py, ~254 tests including recorder-backed integration tests) is gated in CI at a combined line+branch coverage floor of 89% via --cov-fail-under=89 in https://github.com/NaanyaBiz/haggle/blob/main/.github/workflows/ci.yml, part of the required "Test (Python 3.14)" status check enforced by the zero-bypass protect-main ruleset. Current statement (line) coverage is 91.6% (local coverage.xml line-rate 0.9162; https://github.com/NaanyaBiz/haggle/blob/main/docs/testing.md records 90.0% combined at floor-setting time and defines the floor as an upward-only ratchet).


  • 新機能テスト


    プロジェクトには、主要な新機能が追加されると、新しい機能のテストが自動化されたテスト スイートに追加されなければならないという正式な文書化されたポリシーがなければなりません。 [test_policy_mandated]

    docs/testing.md (https://github.com/NaanyaBiz/haggle/blob/main/docs/testing.md) is the formal written test policy: its "Required depth per change type" section mandates automated tests for every functional change class (new endpoint => new fixture + parser tests; coordinator/statistics change => harness-integration tests, with real-recorder tests for sum-chain changes; every escaped defect => a named pinned regression test), enforced by the required CI check with a ratcheting coverage floor (--cov-fail-under=89). CONTRIBUTING.md and AGENTS.md's "Adding a New Endpoint" procedure repeat the tests-required rule for contributors.



    プロジェクトは、変更提案のための文書化された手順に、重要な新機能用にテストを追加するという方針を含まなければなりません。 [tests_documented_added]
    しかし、実際にテストが追加されている限り、非公式の規則でも許容されます。

    https://github.com/NaanyaBiz/haggle/blob/main/CONTRIBUTING.md requires new-endpoint contributions to "Add an anonymised fixture, parser, client method, and tests", and https://github.com/NaanyaBiz/haggle/blob/main/docs/testing.md section "Required depth per change type" mandates the specific test layer for every class of change (new endpoint => new fixture + parser tests; cumulative-sum changes => recorder-backed tests in test_recorder_statistics.py; escaped defects => a named pinned regression test), enforced by CI's ratcheting 89% coverage floor.


  • 警告フラグ


    プロジェクトによって作成されたソフトウェアにある警告に、実際的な場合には、最大限に厳格にならなければなりません。 [warnings_strict]
    一部の警告は、あるプロジェクトでは効果的に有効にすることはできません。必要なのは、プロジェクトが可能な限り警告フラグを有効にするように努力しており、エラーが早期に検出されるという証拠です。

    Warnings are maximally strict and enforced in CI: mypy runs with strict = true plus warn_unreachable, warn_unused_ignores, and warn_redundant_casts; ruff enables 17 rule families including security (flake8-bandit), pylint, bugbear, and a max-complexity 12 gate; and pytest converts warnings to errors (filterwarnings = "error" with narrowly scoped upstream exceptions) - all configured in pyproject.toml (https://github.com/NaanyaBiz/haggle/blob/main/pyproject.toml) and run as part of the required "Test (Python 3.14)" PR check in .github/workflows/ci.yml.


 セキュリティ 13/13

  • セキュリティに関する開発知識


    適用できる場合、プロジェクトはセキュア設計原則(「know_secure_design」から)を実装しなければなりません。プロジェクトでソフトウェアが作成されていない場合は、「該当なし」(N / A)を選択します。 [implement_secure_design]
    たとえば、プロジェクトの結果は、フェール セーフのデフォルト値を持つべきです(デフォルトではアクセスの決定は拒否されるべきで、プロジェクトのインストールはデフォルトでセキュリティ保護されているべきです)。また、完全なメディエーションであるべきです(制限されているすべてのアクセスは、権限がチェックされバイパス不可能でなければなりません)。原則が矛盾する場合があります。その場合、選択が必要です(たとえば、多くの仕組みは、「機構の節約」に反して複雑にすることも、単純にすることもできます)。

    Secure design principles are applied and documented per trust boundary in the committed threat model (https://github.com/NaanyaBiz/haggle/blob/main/docs/threat-model.md section 3): all untrusted AGL JSON passes allowlist parsing with numeric clamping to finite non-negative values (complete mediation / input validation, fuzz-enforced); least privilege governs OAuth scopes (read-only, with a documented re-assessment tripwire on any write scope) and CI tokens (read-only default, job-scoped writes); fail-safe defaults appear as fail-closed release gates (tag ancestry + signature verification) and a fail-closed secret-scanner self-test; secret exposure is minimised (memory-only 15-minute access token, rotate-on-use refresh token, hash-only fallback unique_id).


  • 優良な暗号手法を使用する

    一部のソフトウェアは暗号化メカニズムを使用する必要がないことに注意してください。あなたのプロジェクトが作成するソフトウェアが、(1) 暗号化機能を含む、アクティブ化する、または有効化し、(2) 米国(US)から米国外または米国市民以外にリリースされる可能性がある場合は、法的に義務付けられた追加手順の実行を要求される可能性があります。通常、これにはメールの送信が含まれます。詳細については、 Understanding Open Source Technology & US Export Controls「オープンソース技術と米国の輸出管理について」)の暗号化のセクションを参照してください。

    プロジェクトによって作成されたソフトウェア内のデフォルトのセキュリティ メカニズムは、既知の重大な脆弱性を持つ暗号アルゴリズムやモード(たとえば、SHA-1暗号ハッシュ アルゴリズムまたはSSHのCBC モード)に依存してはいけません。 [crypto_weaknesses]
    SSHのCBCモードに関する懸念事項は、 CERT: SSH CBC 脆弱性にて議論されています。.

    All cryptographic mechanisms in the integration use SHA-256 or stronger: the OAuth PKCE challenge is S256 (config_flow.py), TLS pins are SHA-256 SPKI hashes (https://github.com/NaanyaBiz/haggle/blob/main/custom_components/haggle/agl/pinning.py), diagnostics anonymisation is HMAC-SHA256 (diagnostics.py), and the fallback unique_id is a SHA-256 digest. A search of the integration code finds no MD5 or SHA-1 usage; TLS itself is provided by the host Python/aiohttp stack with modern defaults.



    プロジェクトは複数の暗号アルゴリズムをサポートするべきですので、ユーザーは破られた場合に素早く切り替えることができます。一般的な対称鍵アルゴリズムには、AES、Twofish、およびSerpentがあります。一般的な暗号化ハッシュ アルゴリズムには、SHA-2(SHA-224、SHA-256、SHA-384およびSHA-512を含む)およびSHA-3があります。 [crypto_algorithm_agility]

    All transport cryptography is delegated to the platform TLS stack (Python ssl/OpenSSL via aiohttp), which negotiates among multiple cipher suites and inherits new/updated algorithms from platform updates - the project hard-codes no protocol cryptography. The only project-level primitive is SHA-256, used for the Trust-On-First-Use SPKI pin comparison (https://github.com/NaanyaBiz/haggle/blob/main/custom_components/haggle/agl/pinning.py) and a fallback hashed unique_id; the pin check is deliberately warn-only (SECURITY.md), so a break in that hash degrades a defence-in-depth signal without blocking traffic, and the algorithm is swappable in a single helper.



    プロジェクトは、他の情報(構成ファイル、データベース、ログなど)とは別にしたファイルに、認証資格情報(パスワードやダイナミックトークンなど)やプライベート暗号鍵を格納することをサポートしなければなりませんし、ユーザーがコードの再コンパイルなしにそれらを更新や置き換えできるように許可しなければなりません。プロジェクトが認証資格情報とプライベート暗号化鍵を決して処理しない場合は、「該当なし」(N/A)を選択します。 [crypto_credential_agility]

    The only credential the project processes is the user's own AGL OAuth refresh token, which is stored in Home Assistant's config-entry store (.storage/core.config_entries) - a data file entirely separate from the integration code - alongside the TOFU TLS pin hashes; SECURITY.md section Storage documents this (https://github.com/NaanyaBiz/haggle/blob/main/SECURITY.md). Credentials are replaced at any time via the standard HA Reconfigure/reauth flow with no code change (pure Python, nothing is compiled), and no credentials or keys are embedded in the source (enforced by the layered gitleaks scanning).



    プロジェクトで作成されたソフトウェアは、ネットワーク通信すべてに対して、SSHv2以降、TLS1.2以降 (HTTPS)、IPsec、SFTP、SNMPv3などのセキュア プロトコルをサポートするべきです。FTP、HTTP、telnet、SSLv3以前、およびSSHv1などのセキュアでないプロトコルは、デフォルトで無効にし、ユーザーが特別に設定した場合のみ有効にするべきです。プロジェクトによって作成されたソフトウェアがネットワーク通信をサポートしない場合は、「該当なし」(N/A)を選択します。 [crypto_used_network]

    All network communication is HTTPS: the only outbound endpoints are https://secure.agl.com.au and https://api.platform.agl.com.au, defined in https://github.com/NaanyaBiz/haggle/blob/main/custom_components/haggle/const.py, with no plaintext-protocol code path. TLS is additionally hardened with Trust-On-First-Use SPKI pinning of both hosts (custom_components/haggle/agl/pinning.py; documented in SECURITY.md section Trust-On-First-Use TLS pinning).



    プロジェクトによって作成されたソフトウェアは、TLSをサポートあるいは使用する場合、少なくともTLSバージョン1.2をサポートするべきです。TLSの前身は、SSLと呼ばれていたことに注意して下さい。ソフトウェアがTLSを使用ない場合、「該当なし」(N/A)を選択します。 [crypto_tls12]

    All upstream communication is HTTPS-only to secure.agl.com.au and api.platform.agl.com.au (const.py) via aiohttp on Python >=3.14, whose default TLS context negotiates a minimum of TLS 1.2 and supports TLS 1.3; no code in the repository lowers the TLS minimum or constructs a weakened SSL context. On top of transport TLS, both hosts are Trust-On-First-Use SPKI-pinned, with mismatches surfaced to the user (https://github.com/NaanyaBiz/haggle/blob/main/custom_components/haggle/agl/pinning.py).



    TLSをサポートしている場合、プロジェクトで作成されたソフトウェアは、TLSを使う時には、サブリソースを含めて、デフォルトでTLS認証を受けなければなりません。ソフトウェアがTLSを使用しない場合、「該当なし」(N/A)を選択します。 [crypto_certificate_verification]
    誤ったTLS認証の検証は、よくある間違いであることに注意して下さい。詳細については、「世界でもっとも危険なコード:非ブラウザー ソフトウェアでのSSL認証の検証」Martin Georgiev et al著「このアプリケーションを信頼しますか?」Michael Catanzaro著.を参照して下さい。

    All upstream communication is HTTPS via aiohttp, whose default TLS certificate verification is never disabled anywhere in the shipped code (no ssl=False, verify overrides, or CERT_NONE exist in custom_components/), and the integration additionally layers Trust-On-First-Use SPKI pinning of both AGL endpoints on top of standard verification (https://github.com/NaanyaBiz/haggle/blob/main/custom_components/haggle/agl/pinning.py; behaviour documented in SECURITY.md, 'Trust-On-First-Use TLS pinning').



    TLSをサポートしている場合、プロジェクトによって作成されたソフトウェアは、(たとえばセキュアクッキーなど)プライベートな情報をHTTPヘッダと共に送信する前に、証明書の検証をしなければなりません。ソフトウェアがTLSを使用しない場合は、「該当なし」(N/A)を選択します。 [crypto_verification_private]

    All upstream endpoints are HTTPS (const.py: secure.agl.com.au, api.platform.agl.com.au) and every request goes through aiohttp with default certificate and hostname verification - no ssl=False, CERT_NONE, or check_hostname override exists anywhere in the tree - so verification completes during the TLS handshake before any HTTP headers carrying bearer tokens are sent. On top of WebPKI verification, a Trust-On-First-Use SHA-256 SPKI pin is checked on every new connection (https://github.com/NaanyaBiz/haggle/blob/main/custom_components/haggle/agl/pinning.py); the pin layer is warn-only by documented design, but standard certificate verification always applies.


  • 公開物の安全性


    プロジェクトは、広く普及することを意図しているプロジェクト結果のリリースには暗号で署名しなければなりませんし、パブリック署名鍵を入手して署名を検証する方法をユーザに説明するプロセスがなければなりません。これらの署名の秘密鍵は、ソフトウェアを一般に直接配布するために使用されるサイトにあってはなりません。リリースが広く普及することを意図していない場合は、「該当なし」(N/A)を選択します。 [signed_releases]
    プロジェクトの結果には、ソースコードと生成された成果物(実行可能ファイル、パッケージ、コンテナなど)が含まれます。生成された成果物は、ソースコードとは別に署名することができます。これらは、(暗号デジタル署名を使用して)署名付きgitタグとして実装できます。プロジェクトはgitのようなツールとは別に生成された結果を提供するかもしれませんが、そのような場合、別々の結果を別々に署名しなければなりません。

    Releases are cryptographically signed twice over: release tags are ed25519-SSH-signed by the maintainer's offline key and the release workflow refuses fail-closed any tag whose signature does not verify against the committed public key file https://github.com/NaanyaBiz/haggle/blob/main/.github/allowed_signers (https://github.com/NaanyaBiz/haggle/blob/main/.github/workflows/release.yml, "Verify tag signature"); the installed artifact haggle.zip is Sigstore-attested via actions/attest-build-provenance with the .sigstore bundles and attested SPDX/CycloneDX SBOMs attached to every GitHub Release. The user verification process is documented in https://github.com/NaanyaBiz/haggle/blob/main/SECURITY.md (gh attestation verify haggle.zip --repo NaanyaBiz/haggle). No private key is on any distribution site - the tag key is held offline and Sigstore signing is keyless (ephemeral OIDC). Historical honesty: releases <= v0.4.0-beta.4 predate attestation and pre-2026-07-13 tags render Unverified, recorded as accepted risk RA-10; all releases from 2026-07 onward are signed and attested.



    バージョン管理システムでは、 signed_releases で説明されているように、重要なバージョンタグ(メジャーリリース、マイナーリリース、または公開されている脆弱性の一部であるタグ)を暗号署名して検証することが推奨されています。 [version_tags_signed]

    Release tags are cryptographically signed: each v* tag is SSH-signed (ed25519) with the maintainer's release identity, whose public key is committed at .github/allowed_signers (https://github.com/NaanyaBiz/haggle/blob/main/.github/allowed_signers), and release.yml refuses fail-closed to build any tag whose signature does not verify against that file. I verified the latest tag (v0.4.0-beta.6) locally with git tag -v against the committed allowed_signers. Tags cut before 2026-07-13 predate the registered signing identity and are recorded as a historical exception (SECURITY.md RA-10).


  • その他のセキュリティ上の課題


    プロジェクトの結果は、潜在的に信頼できないソースからのすべての入力をチェックして有効であること(*allowlist*)を確認し、データに何らかの制限がある場合は無効な入力を拒否しなければなりません。 [input_validation]
    攻撃者はしばしばブラックリストを回避することができるので、入力を "不正な形式" のリスト(別名*denylist*)と比較するのは、通常十分ではないことに注意してください。特に、数値は内部形式に変換され、最小値と最大値の間であるかがチェックされますし、文字列は、有効なテキストパターン(有効なUTF-8、長さ、構文など)であることを確認するためにチェックされます。一部のデータは「何でもよい」(たとえばファイル アップローダー)ことがありますが、通常はまれです。

    The untrusted input surface - AGL API JSON (attacker-influenceable, since TLS pin mismatch is warn-only by design) - is processed by allowlist-style parsers in https://github.com/NaanyaBiz/haggle/blob/main/custom_components/haggle/agl/parser.py that are total over arbitrary JSON: only named fields are extracted (open-schema dict passthrough is prohibited in AGENTS.md), interval types are checked against a known set, and every numeric is clamped to a non-negative finite float via _safe_float before it can reach recorder statistics. The property is enforced by the atheris fuzz harness (tests/fuzz/fuzz_parser.py, a required PR check via fuzz.yml) and TestParserTotality in tests/test_parser.py.



    プロジェクトによって作成されたソフトウェアで強化メカニズムを使用するべきですので、ソフトウェア欠陥がセキュリティ上の脆弱性を引き起こす可能性が低くなります。 [hardening]
    強化メカニズムは、Content Security Policy(CSP)などのHTTPヘッダー、攻撃を緩和するコンパイラ フラグ(-fstack-protectorなど)、または未定義の動作を排除するためのコンパイラ フラグを含みます。私たちの目的のために、最低限の特権は強化メカニズムとはみなされません(最低の特権は重要ですが、別の話です)。

    Multiple hardening layers make defects less likely to become vulnerabilities: both AGL endpoints are SPKI-pinned (TOFU) yet their JSON is still treated as attacker-influenceable - parsing is allowlist-style (no open-schema passthrough), numeric values are clamped through _safe_float so inf/NaN/negatives can never reach the recorder (https://github.com/NaanyaBiz/haggle/blob/main/custom_components/haggle/agl/parser.py), and the parser boundary is fuzz-tested with atheris on every PR plus a weekly deep run (https://github.com/NaanyaBiz/haggle/blob/main/.github/workflows/fuzz.yml). Ruff's flake8-bandit security rules gate CI, diagnostics pass a scrub layer backed by leak tests, and upstream error bodies are stripped before exceptions propagate (docs/threat-model.md sections 2-3).



    プロジェクトは、そのセキュリティ要件が満たされていることを証明する保証ケースを提供しなければならない。保証ケースには、脅威モデルの説明、信頼境界の明確な識別、セキュアな設計原則が適用されていることの議論、共通の実装セキュリティの弱点が対処されたことの議論が含まれなければならない。 (URLが必要です) [assurance_case]
    保証ケースは、「システムのプロパティに関する特定の一連の重大なクレームが、特定の環境とアプリケーションに対して適切に正当化されていることを説得力のある正当な議論で示す証拠」である(「構造化された保証ケースモデルを使用したソフトウェア保証」、Thomas Rhodes他、NIST Interagency Report 7608 )。信頼境界は、データまたは実行がその信頼レベル、例えば、典型的なウェブアプリケーションにおけるサーバの境界、を変更する境界である。安全な設計原則(SaltzerやSchroeerなど)と一般的な実装セキュリティの弱点(OWASPトップ10やCWE / SANSトップ25など)をリストし、それぞれがどのように対抗しているかを示すのは一般的です。 BadgeAppの保証ケースは良い参考例になるかもしれません。これは、documentation_security、documentation_architecture、およびimplement_secure_designに関連しています。

    The committed living threat model is the assurance case: it describes the system and threat model (an 18-threat STRIDE register, each threat tracked to a disposition with cited evidence), identifies five trust boundaries and the controls at each (https://github.com/NaanyaBiz/haggle/blob/main/docs/threat-model.md sections 1-5), and argues how secure design principles are applied and common implementation weaknesses countered (allowlist parsing, numeric clamping, fuzz-enforced parser totality, secret redaction backed by leak tests, plus CodeQL SAST and atheris fuzzing as required merge gates - https://github.com/NaanyaBiz/haggle/blob/main/SECURITY.md, 'Gating Policy'). The statement-level conformance map extends the argument control-by-control against the committed secure-SDLC standard (https://github.com/NaanyaBiz/haggle/blob/main/docs/compliance/conformance.md).


 分析 2/2

  • 静的コード解析


    プロジェクトは、選択された言語でこの基準を実装できる少なくとも1つのFLOSSツールがある場合、解析された言語または環境で共通の脆弱性を探すためのルールまたはアプローチを備えた少なくとも1つの静的解析ツールを使用しなければならなりません。 [static_analysis_common_vulnerabilities]
    一般的な脆弱性を探すために特別に設計された静的解析ツールは、それらを見つける可能性が高いです。つまり、静的ツールを使用すると、通常は問題を見つけるのに役立ちますので、利用を提案しますが、「合格」レベルのバッジには要求しません。

    CodeQL Python analysis runs weekly and on every PR (https://github.com/NaanyaBiz/haggle/blob/main/.github/workflows/codeql.yml) and is one of the eight required status checks enforced by the zero-bypass protect-main ruleset. CI additionally runs ruff with the flake8-bandit security rule set ("S") enabled in pyproject.toml on every PR, so two FLOSS vulnerability-oriented static analyzers gate every change.


  • 動的コード分析


    もしプロジェクトで作成されたソフトウェアにメモリ安全でない言語(CやC ++など)を使用して作成されたソフトウェアが含まれているならば、そのときには 少なくとも1つの動的ツール(たとえば、ファジーまたはウェブ アプリケーション スキャナ)を、バッファの上書きなどのメモリの安全性の問題を検出するメカニズムと一緒にいつも使用します。プロジェクトがメモリ安全でない言語で書かれたソフトウェアを作成しない場合は、「該当なし」(N/A)を選択します。 [dynamic_analysis_unsafe]
    メモリの安全性の問題を検出するメカニズムの例としては、アドレスサニタイザー(ASAN)(GCCおよびLLVMで利用可能)、 Memory Sanitizer 、および valgrind が含まれます。他に使用される可能性のあるツールには、スレッドサニタイザ定義されていない動作サニタイザを参照してください。広範なアサーションも機能します。

    The shipped software is written entirely in Python, a memory-safe managed language; the tree contains no C/C++/assembly and the integration declares zero compiled runtime requirements (manifest.json "requirements": []), so no memory-unsafe code exists to instrument. (Dynamic hostile-input testing runs regardless: atheris fuzzing of the parser trust boundary on every PR plus weekly deep runs, https://github.com/NaanyaBiz/haggle/blob/main/.github/workflows/fuzz.yml.)



このデータは、Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0)のもとで利用可能です。これは、データ受領者が、データ受領者がこの契約のテキストを共有データとともに利用可能にする限り、変更の有無にかかわらずデータを共有できることを意味します。NaanyaBizおよびOpenSSFベストプラクティスバッジのコントリビューターにクレジットを表示してください。

プロジェクト バッジ登録の所有者: NaanyaBiz.
エントリの作成日時 2026-07-12 09:21:52 UTC、 最終更新日 2026-07-14 20:21:06 UTC 最後に2026-07-12 09:34:54 UTCにバッジ合格を達成しました。