Makes

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

これがあなたのプロジェクトなら、あなたのプロジェクトページにあなたのバッジステータスを表示してください！バッジステータスは次のようになります。

バッジステータスの埋め込み方法は次のとおりです。

バッジステータスを表示するには、あなたのプロジェクトのマークダウンファイルに以下を埋め込みます

[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/5703/badge)](https://www.bestpractices.dev/projects/5703)

あるいは、以下をHTMLに埋め込みます
<a href="https://www.bestpractices.dev/projects/5703"><img src="https://www.bestpractices.dev/projects/5703/badge"></a>

これらは

レベルの基準です。

または

レベル基準を表示することもできます。

基本的情報 5/5 ●

識別情報

プロジェクトの名前は何ですか？
他のプロジェクトが同じ名前を使用していないか注意してください。

プロジェクトを簡単に説明してください。

A DevSecOps framework powered by Nix.

プロジェクト全体のURLは？
https://github.com/fluidattacks/makes

バージョン管理リポジトリのURLは何ですか（プロジェクトURLと同じでもかまいません）。
https://github.com/fluidattacks/makes
前提要件

Criterion [achieve_silver]
適合

不適合

プロジェクトは、シルバーレベルバッジを達成しなければなりません。 ^{[achieve_silver]}
プロジェクトの管理・運営

Criterion [bus_factor]
適合

不適合

?

プロジェクトは2以上の "バスファクタ"を持つ必要があります。 (URLが必要です) ^[bus_factor]
「バスファクタ」（別名「トラックファクタ」）は、知見があり有能な人材が離脱して、プロジェクトが停止に至る時に、プロジェクトから突然消失する（「バスに当たった」）プロジェクトメンバーの最小人数です。トラックファクタツールは、GitHub上のプロジェクトに対してこれを見積もることができます。詳細については、Cosentino et al。の Gitリポジトリのバスファクタの評価を参照してください。

The project is maintained by Fluid Attacks and employes contribute to it as part of of their work schedule. Usually more than 2 developers contribute to each release: https://github.com/fluidattacks/makes/commits/main and currently we have three persons in the payroll with maintainer status: https://fluidattacks.github.io/makes/governance/
Criterion [contributors_unassociated]
適合

不適合

?

プロジェクトには少なくとも2人の関係を持たない重要な貢献者がいなければなりません。 (URLが必要です) ^{[contributors_unassociated]}
同じ組織によって作業に対しに支払われ（従業員または請負業者）、組織がプロジェクトの成果の恩恵を受ける場合、貢献者は関連します。財務補助金が他の組織を通過する場合、同じ組織のものであると見なされません（例えば、共通の政府やNGOのソースから異なる組織に支払われた科学補助金は、貢献者を関連させません）。過去1年間にプロジェクトに些細でない貢献をしていれば、その人は大きな貢献をしています。重要な貢献者の良い指標の例としては、少なくとも1,000行のコード、50個のコミット、または少なくとも20ページの文書化が挙げられます。
As of 2022-09-22, the project has had code contributions (measured in commits) from the following individuals:

makes $ git log --format=%aN --since=2021-09-22 | sort | uniq -c | sort -rn
```
152 Kevin Amado
109 John Perez
 49 Daniel Salazar
 15 Diego Restrepo
  6 David Arnold
  3 Luis Saavedra
  2 GuangTao Zhang
  1 Timothy DeHerrera
  1 Github Dependabot
  1 Daniel Murcia
```
https://github.com/fluidattacks/makes/commits/main
その他

Criterion [copyright_per_file]
適合

不適合

?

プロジェクトは、少なくとも1つの関連する年と著作権者を特定する著作権記述書を各ソースファイルに含まなければなりません（"[プロジェクト名] 貢献者" のように）。 ^{[copyright_per_file]}
これは、各ファイルの先頭近くに以下のコメントを含めることによって行うことができます： "Copyright the [project name] contributors."。"Copyright Notices in Open Source Software Projects" by Steve Winslowを参照してください。

We use https://reuse.software/ and validate its compliance in the CI/CD on each pull request. This is how a file copyright statement looks like: https://github.com/fluidattacks/makes/blob/cf3762cd96b65759d9c18a9b30f41d5aac465f2c/README.md?plain=1#L1-L5

Criterion [license_per_file]
適合

不適合

?

プロジェクトは、各ソースファイルにライセンスステートメントを含まなければなりません。これは、各ファイルの先頭近くに次のコメントを含めることによって行うことができます： SPDXライセンス識別子：[プロジェクトに対するSPDXライセンス表現] ^{[license_per_file]}
これは、ライセンスを特定する自然言語での記述を含めることによっても行うことができます。プロジェクトには、ライセンステキストまたは完全なライセンステキストを指し示す安定したURLを含めることもできます。 license_location基準は、プロジェクトライセンスが標準の場所にあることを要求します。 SPDXライセンスの詳細については、このSPDXチュートリアルを参照してください。 copyright_per_file との関係に注意してください。その内容は通常、ライセンス情報に先行します。

We use https://reuse.software/ and validate its compliance in the CI/CD on each pull request. This is how a file copyright statement looks like: https://github.com/fluidattacks/makes/blob/cf3762cd96b65759d9c18a9b30f41d5aac465f2c/README.md?plain=1#L1-L5

分析 2/2 ●

動的コード分析

Criterion [dynamic_analysis]
適合

不適合

該当なし

?

プロジェクトは、リリース前にプロジェクトによって作成されたソフトウェアの主要な製品リリースに対して、少なくとも1つの動的解析ツールを適用しなければなりません。 ^{[dynamic_analysis]}
動的解析ツールは、ソフトウェアを特定の入力で実行して検査します。たとえば、プロジェクトは、ファジングツール（アメリカンファジーロップなど）やウェブアプリケーションスキャナ（例： ZAP または w3af ）です。場合によっては、 OSS-Fuzz プロジェクトがプロジェクトにファズテストを適用する可能性があります。この基準のために、動的分析ツールは、様々な種類の問題を探すために何らかの方法で入力を変更するかまたは少なくとも80％のブランチカバレッジを持つ自動テストスイートである必要があります。動的解析に関するWikipediaのページとファジングに関するOWASPページで、いくつかの動的解析ツールを特定しています。解析ツールは、セキュリティの脆弱性を探すことに重点を置くことができますが、これは必須ではありません。

We use an automated test suite for this purpose, branch coverage is enabled on it, and the critical flows are tested and verified by the CI/CD system for every change made in the project

Criterion [dynamic_analysis_enable_assertions]
適合

不適合

該当なし

?

プロジェクトは、生成するソフトウェアに多くの実行時アサーションを含めるべきであり、動的分析中にそれらのアサーションをチェックするべきです。 ^{[dynamic_analysis_enable_assertions]}
この基準は、本番環境でアサーションを有効にすることを示唆するものではありません。それは完全にプロジェクトとそのユーザーが決定することです。この基準の焦点は、展開前の動的分析中の障害検出を改善することです。プロダクション環境でのアサーションの有効化は、動的分析（テストなど）中にアサーションを有効にすることとはまったく異なります。場合によっては、プロダクション環境でアサーションを有効にすることは非常に賢明ではありません（特に高整合性コンポーネントの場合）。プロダクション環境でアサーションを有効にすることには多くの議論があります。たとえば、ライブラリは呼び出し元をクラッシュさせてはなりません。ライブラリが存在するとアプリストアによる拒否が発生する可能性があります。また、プロダクション環境でアサーションをアクティブにすると、秘密鍵などの秘密データが公開される可能性があります。多くのLinuxディストリビューションではNDEBUGが定義されていないため、これらのディストリビューションのプロダクション環境ではデフォルトで C/C++ assert() が有効になります。これらの環境でのプロダクション環境では、別のアサーションメカニズムを使用するか、 NDEBUGを定義することが重要です。

We use raise SystemExit(code) anytime an error condition is encountered so that the CLI signals to the user that something went wrong. An error message is also normally printed. This system exits would also be caught by the dynamic analysis tool.

このデータは、Creative Commons Attribution version 3.0以降のライセンス（CC-BY-3.0 +）のもとで利用できます。すべての人がデータを自由に共有および適応できますが、適切にクレジットを入れる必要があります。 John PerezとOpenSSFベストプラクティスバッジ貢献者のクレジットを入れてください。

プロジェクトバッジ登録の所有者： John Perez.
エントリの作成日時 2022-03-10 18:51:06 UTC、 最終更新日 2022-10-28 18:29:34 UTC 最後に2022-03-10 19:49:27 UTCにバッジ合格を達成しました。

もどる

Makes

基本的情報 5/5 ●

識別情報

前提要件

プロジェクトの管理・運営

その他

変更管理 4/4 ●

公開されたバージョン管理ソースリポジトリ

品質 7/7 ●

コーディング標準

作業ビルドシステム

自動テストスイート

セキュリティ 5/5 ●

優良な暗号手法を使用する

MITM（man-in-the-middle：中間者）攻撃に対応できる安全な配信

その他のセキュリティ上の課題

分析 2/2 ●

動的コード分析

Makes

基本的情報 5/5 ●

識別情報

前提要件

プロジェクトの管理・運営

その他

変更管理 4/4 ●

公開されたバージョン管理ソースリポジトリ

品質 7/7 ●

コーディング標準

作業ビルドシステム

自動テスト スイート

セキュリティ 5/5 ●

優良な暗号手法を使用する

MITM（man-in-the-middle：中間者）攻撃に対応できる安全な配信

その他のセキュリティ上の課題

分析 2/2 ●

動的コード分析

自動テストスイート