HDF5 Library and File Format

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

ソフトウェアに欠陥や脆弱性がないことを保証する手立てはありません。形式論的な証明ができたとしても、仕様や前提が間違っていると誤動作の可能性があります。また、プロジェクトが健全で、かつ機能的な開発コミュニティであり続けることを保証する手立てもありません。しかし、ベストプラクティスの採用は、プロジェクトの成果の向上に寄与する可能性があります。たとえば、いくつものベストプラクティスがリリース前の複数人によるレビューを定めていますが、それによりレビュー以外では発見困難な技術的脆弱性を見つけるのを助け、同時に異なる企業の開発者間の信頼を築き、さらに交流を続けることに対する意欲を生んでいます。バッジを獲得するには、すべてのMUSTおよびMUST NOT基準を満たさなければなりません。すべてのSHOULD基準も満たさなければなりませんが、正当な理由がある場合は満たさなくても構いません。そしてすべてのSUGGESTED基準も満たさなければなりませんが、満たさないとしても、少なくとも考慮することが望まれます。フィードバックは、 GitHubサイトのissueまたはpull requestとして提示されれば歓迎します。また、議論のためのメールリストも用意されています。

私たちは多言語で情報を提供していますが、翻訳版に矛盾や意味の不一致がある場合は、英語版を正式な記述とします。

これがあなたのプロジェクトなら、あなたのプロジェクトページにあなたのバッジステータスを表示してください！バッジステータスは次のようになります。

バッジステータスの埋め込み方法は次のとおりです。

バッジステータスを表示するには、あなたのプロジェクトのマークダウンファイルに以下を埋め込みます

[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/7802/badge)](https://www.bestpractices.dev/projects/7802)

あるいは、以下をHTMLに埋め込みます
<a href="https://www.bestpractices.dev/projects/7802"><img src="https://www.bestpractices.dev/projects/7802/badge"></a>

これらは

レベルの基準です。

または

レベル基準を表示することもできます。

基本的情報 13/13 ●

識別情報

プロジェクトの名前は何ですか？
他のプロジェクトが同じ名前を使用していないか注意してください。

プロジェクトを簡単に説明してください。

Official HDF5® Library Repository

プロジェクト全体のURLは？
https://github.com/HDFGroup/hdf5

バージョン管理リポジトリのURLは何ですか（プロジェクトURLと同じでもかまいません）。
https://github.com/HDFGroup/hdf5

どのようなプログラミング言語を使ってプロジェクトを実装していますか？
複数の言語がある場合は、コンマを区切り（スペースを入れてもよい）としてリストし、使用頻度の高いものから順に並べます。使用言語が多くある場合は、少なくとも最初の3つの最も多く使われるものをリストアップしてください。言語がない場合（例：ドキュメントだけ、またはテスト専用のプロジェクトの場合）、1文字 " - "を使用します。言語ごとにある大文字・小文字の慣用を踏襲してください（例：「JavaScript」）。

Implementation languages

プロジェクトの Common Platform Enumeration（CPE）名は何ですか？
Common Platform Enumeration（CPE）は、情報技術（IT）システム、ソフトウェア、およびパッケージのための構造化された命名体系です。脆弱性を報告する際に、多くのシステムやデータベースで使用されています。
基本的なプロジェクトウェブサイトのコンテンツ
Criterion [description_good]
適合

不適合

?

プロジェクトのウェブサイトは、ソフトウェアが何をするのか（何の問題を解決するのか）を簡潔に記述しなければなりません。 ^{[description_good]}
これは、潜在的なユーザーが理解できる言語でなければなりません（例えば、それは最小限の専門用語を使用します）。
The README.md file succinctly describes what HDF5 does and what problem it solves:

1 Primary Description

The README states:
- "This repository contains a high-performance library's source code and a file format specification that implements the HDF5® data model. The model has been adopted across many industries, and this implementation has become a de facto data management standard in science, engineering, and research communities worldwide."
2 This clearly describes:
- What it does: Provides a high-performance library and file format for data management
- What problem it solves: Data management and storage needs in science, engineering, and research
- Its significance: De facto standard adopted across many industries
Reference: README.md

3 Additional Context

The README also directs users to The HDF Group's website for more information:
- URL: https://github.com/HDFGroup/hdf5/blob/develop/README.md
Criterion [interact]
適合

不適合

?

プロジェクトのウェブサイトは、取得方法、フィードバックの提供方法（バグ報告や拡張機能）、ソフトウェアへの貢献方法に関する情報を提供しなければなりません。 ^[interact]
1 How to Obtain the Software

The README includes multiple sources for obtaining HDF5:
- Source code repository: https://github.com/HDFGroup/hdf5.git
- Current releases: https://support.hdfgroup.org/releases/hdf5/v1_14/index.html
- Development snapshots: https://github.com/HDFGroup/hdf5/releases/tag/snapshot
- Archived releases: https://support.hdfgroup.org/archive/support/ftp/HDF5/releases/index.html
- Maven artifacts: https://maven.pkg.github.com/HDFGroup/hdf5
Reference: README.md#snapshots-previous-releases-and-source-code

2 How to Provide Feedback (Bug Reports and Enhancements)

The README provides clear channels for feedback:
- Help Desk: https://help.hdfgroup.org
- Forum: https://forum.hdfgroup.org (for technical questions and discussions)
- HDF5 Topics Forum: https://forum.hdfgroup.org/c/hdf5 (specifically for HDF5-related discussions)
Reference: README.md#help-and-support and README.md#forum-and-news

3 How to Contribute

While not detailed in README.md itself, the repository contains a comprehensive CONTRIBUTING.md file that explains the contribution process in detail. URL: https://github.com/HDFGroup/hdf5/blob/develop/README.md The project website (accessible through the links in README.md) provides all necessary information for obtaining, providing feedback, and contributing to the software.
Criterion [contribution]
適合

不適合

?

貢献する方法に関する情報は、貢献プロセス（たとえばプルリクエストが使用されか、など）を説明する必要があります。 (URLが必要です) ^{[contribution]}
別段の記載がない限り、GitHub上のプロジェクトは、（GitHubが提供する）課題管理とプルリクエストを使用することを想定します。この情報は不足しているかもしれません。すなわち、プロジェクトがプルリクエストと課題追跡ツールを使うことか、メーリングリストへの投稿を言及している。（どちら？）

Reference: https://github.com/HDFGroup/hdf5/blob/develop/CONTRIBUTING.md The file clearly explains that pull requests are the mechanism for contributions and provides comprehensive process documentation.
Criterion [contribution_requirements]
適合

不適合

?

貢献する方法に関する情報は、貢献を受け入れるための要件（たとえば、必要なコーディング標準への参照）を含むべきです。 (URLが必要です) ^{[contribution_requirements]}
Reference: CONTRIBUTING.md#checklist-for-contributors URL: https://github.com/HDFGroup/hdf5/blob/develop/CONTRIBUTING.md

The file comprehensively addresses coding standards, development conventions, and contribution requirements throughout multiple sections. Specifically:

1 Development Conventions Section

This section documents required coding standards, including:
- Code organization (public, private, package visibility levels)
- Function naming conventions (H5Xfoo(), H5X_foo(), H5X__foo())
- Function structure requirements (entry/exit macros, error handling)
- Error handling conventions
- Platform independence requirements
- Memory management standards
Reference: CONTRIBUTING.md#development-conventions

2 Acceptance Criteria Section

This section explicitly lists requirements for pull requests:
- Clear purpose
- Proper documentation
- Testing requirements
- Compatibility requirements (100% backward compatibility, machine independence, binary compatibility)
- Documentation standards (Doxygen, CHANGELOG.md)
Reference: CONTRIBUTING.md#acceptance-criteria

3 Checklist for Contributors Section

Provides a verification checklist covering:
- Code conventions (naming, portability, structure)
- Documentation requirements
- Testing requirements
FLOSSライセンス

プロジェクトのライセンスはどのようなものですか？
SPDXライセンスの表現形式を使用してください。例：「Apache-2.0」、「BSD-2-Clause」、「BSD-3-Clause」、「GPL-2.0+」、「LGPL-3.0+」、「MIT」、「(BSD-2-Clause OR Ruby)」。一重引用符または二重引用符を含めないでください。

License
Criterion [floss_license]
適合

不適合

?
プロジェクトによって作成されたソフトウェアは、FLOSSとしてリリースされなければなりません。 ^{[floss_license]}
FLOSSは、オープンソース定義またはフリーソフトウェア定義を満たす方法でリリースされたソフトウェアです。そのようなライセンスの例としては、CC0、MIT、2項型BSD、 3項型BSD、 Apache 2.0 、Less GNU General Public License（LGPL）、および GNU General Public License（GPL）を参照してください。私たちの目的のためには、これはライセンスが以下のものでなければならないことを意味します：
ソフトウェアは他の方法でライセンスされているかもしれません（たとえば、「GPLv2またはプロプライエタリ」は許容されます）。
https://github.com/HDFGroup/hdf5/blob/develop/LICENSE The BSD-3-Clause license is approved by the Open Source Initiative (OSI).
Criterion [floss_license_osi]
適合

不適合

?

プロジェクトによって作成されたソフトウェアに必要なライセンスは、オープンソース・イニシアチブ（OSI）によって承認されていることが推奨されています。 ^{[floss_license_osi]}
OSIは、厳格な承認プロセスを使用して、どのライセンスがOSSであるかを判断します。

https://opensource.org/license/bsd-3-clause The BSD-3-Clause license is approved by the Open Source Initiative (OSI).
Criterion [license_location]
適合

不適合

?

プロジェクトは、結果のライセンスをソースリポジトリの標準的な場所に投稿しなければなりません。 (URLが必要です) ^{[license_location]}
たとえば、LICENSEまたはCOPYINGという名前の最上位ファイルです。ライセンスファイル名の後に ".txt" や ".md" などの拡張子を付けることができます。別の規則は、ライセンスファイルを含むLICENSESという名前のディレクトリを持つことです。これらのファイルは通常、 REUSE仕様で説明されているように、SPDXライセンス識別子とそれに続く適切なファイル拡張子として名前が付けられます。この基準は、ソースリポジトリの要件にすぎないことに注意してください。ソースコード（実行可能ファイル、パッケージ、コンテナなど）から何かを生成するときに、ライセンスファイルを含める必要はありません。たとえば、Comprehensive R Archive Network（CRAN）のRパッケージを生成するときは、標準のCRANプラクティスに従います。ライセンスが標準ライセンスの場合は、標準の短いライセンス仕様を使用して（テキストのコピーをさらにインストールしないようにするため）、リストします。 .Rbuildignoreなどの除外ファイル内のLICENSEファイル。同様に、Debianパッケージを作成する場合、著作権ファイルに /usr/share/common-licenses のライセンステキストへのリンクを配置し、作成したパッケージからライセンスファイルを除外できます（たとえば、dh_auto_installを呼び出した後にファイルを削除します）。可能な場合は、生成された形式で機械可読ライセンス情報を含めることをお勧めします。
The project posts its license in the standard location:
- LICENSE File in Repository Root URL: https://github.com/HDFGroup/hdf5/blob/develop/LICENSE
ドキュメンテーション
Criterion [documentation_basics]
適合

不適合

該当なし

?

プロジェクトは、プロジェクトによって作成されたソフトウェアに関する基本的なドキュメンテーションを提供しなければなりません。 ^{[documentation_basics]}
このドキュメントは、インストール方法、起動方法、使用方法（可能であれば例示したチュートリアル）、および、そのソフトウェアの適切なトピックであれば安全に使用する方法（たとえば何をするべきで、何をすべきでないか）を記述し、メディア（たとえば、テキストやビデオなど）に収められている必要があります。セキュリティの文書は必ずしも長文である必要はありません。プロジェクトは、ドキュメンテーションとしてプロジェクト以外の素材へのハイパーテキストリンクを使用してもよいです。プロジェクトがソフトウェアを作成しない場合は、「該当なし」（N / A）を選択します。
The project provides comprehensive basic documentation through multiple channels:
- README.md - Quick Start Documentation
1 The README.md file in the repository root provides essential documentation, including:
- What the software does (high-performance data management library)
- How to obtain the software
- Where to get help and support
- Release information
- Reference: README.md
2 Installation Documentation

The release_docs/ directory contains detailed installation and usage instructions:
- INSTALL - General compilation and installation instructions
- INSTALL_CMAKE - CMake-specific build instructions
- INSTALL_Windows and INSTALL_Cygwin - Platform-specific installation
- README_HPC.md - HPC system configuration
- USING_HDF5_CMake - Building applications with HDF5
- USING_CMake_Examples - Building and testing examples
Reference: release_docs/

3 CONTRIBUTING.md - Development Documentation

Comprehensive guide for developers covering:
- How to build for development
- Source code organization
- Development conventions and coding standards
- Testing procedures
Reference: CONTRIBUTING.md

4 Online Documentation

The README.md directs users to comprehensive online documentation:
- All HDF software documentation: https://support.hdfgroup.org/documentation/index.html
- Latest HDF5 library documentation: https://support.hdfgroup.org/documentation/hdf5/latest
5 API Documentation
- Doxygen documentation: The project includes Doxygen markup in public headers for API documentation
- The doxygen/ directory contains Doxygen build files for generating API documentation
6 CHANGELOG.md

The release_docs/CHANGELOG.md file documents:
- Changes from release to release
- New features
- Bug fixes
- Known problems
Reference: release_docs/CHANGELOG.md URL: https://github.com/HDFGroup/hdf5/blob/develop/README.md The project provides extensive basic documentation both in the repository (README, INSTALL files, CONTRIBUTING guide) and online (comprehensive API documentation and user guides).
Criterion [documentation_interface]
適合

不適合

該当なし

?

プロジェクトは、プロジェクトによって作成されたソフトウェアの外部インタフェース（入力と出力の両方）を記述する参照ドキュメントを提供しなければなりません。 ^{[documentation_interface]}
外部インターフェイスのドキュメントは、エンドユーザーまたは開発者に、その使用方法を説明します。ドキュメントには、ソフトウェアにアプリケーションプログラムインターフェイス（API）が含まれている場合、アプリケーションプログラムインターフェイスが含まれます。ライブラリの場合、呼び出すことができる主要なクラス/型とメソッド/関数を文書化します。ウェブアプリケーションの場合、URLインタフェース（多くの場合、RESTインタフェース）を定義します。コマンドラインインターフェイスの場合は、サポートするパラメータとオプションを文書化します。多くの場合、ドキュメントのほとんどを自動生成すると、ソフトウェアが変更されたときにドキュメントがソフトウェアと同期したままなので、最も良い方法ですが、これは必須ではありません。プロジェクトは、ドキュメンテーションとしてプロジェクト以外の素材へのハイパーテキストリンクを使用してもよいです。ドキュメンテーションは自動的に生成されるかもしれません（実際的に、しばしばこれを行う最良の方法です）。 RESTインタフェースのドキュメントは、Swagger / OpenAPIを使用して生成することができます。コードインタフェースのドキュメントは、 JSDoc （JavaScript）、 ESDoc （JavaScript）、pydoc（Python）、devtools (R)、pkgdown (R)、およびDoxygen（多数）のいずれかです。実装コードにコメントがあるだけでは、この基準を満たすには不十分です。すべてのソースコードを読むことなく情報を見るための簡単な方法が必要です。プロジェクトがソフトウェアを作成しない場合は、「該当なし」（N/A）を選択します。
The project provides comprehensive reference documentation describing the external interface (both input and output):

1 Doxygen-Documented Public API Headers

All public API functions are documented with Doxygen markup in the public header files. These include detailed descriptions of:
```
* Input parameters: Each parameter is documented with \param[in], \param[out], or \param[in,out] tags
* Return values: Documented with \return tags
* Detailed descriptions: Comprehensive \details sections explaining function behavior
* Code examples: Many functions include \par Example sections
* Version information: \since tags indicating when functions were introduced
```
2 Online Reference Documentation

The README.md directs users to comprehensive online API reference documentation:
```
* Latest HDF5 API Documentation: https://support.hdfgroup.org/documentation/hdf5/latest
* This is generated from the Doxygen markup in the source code
```
Reference: README.md#documentation

3 Complete API Coverage

Public API headers covering all major functionality

4 Doxygen Build System

The project includes a complete Doxygen build system in the doxygen/ directory for generating reference documentation from the annotated source code. URL: https://support.hdfgroup.org/documentation/hdf5/latest The project provides extensive reference documentation with detailed input/output specifications for all public API functions, both in the source code (Doxygen comments) and in published online documentation.
その他
Criterion [sites_https]
適合

不適合

?

プロジェクトサイト（ウェブサイト、リポジトリ、およびダウンロードURL）は、TLSを使用したHTTPSをサポートしなければなりません。 ^{[sites_https]}
これには、プロジェクトのホームページのURLとバージョン管理リポジトリのURLが「http：」ではなく「https：」で始まる必要があります。Let's Encryptからフリーの証明書を入手できます。プロジェクトは、（例えば） GitHubページ、 GitLabページ、またはSourceForgeプロジェクトページを使ってこの基準を実装してもよいです。HTTPをサポートしている場合は、HTTPトラフィックをHTTPSにリダイレクトすることを強くお勧めします。
All project sites support HTTPS using TLS:

1 Project Website
- The HDF Group website uses HTTPS: https://www.hdfgroup.org/
Reference from README.md and CONTRIBUTING.md

2 Source Code Repository

The GitHub repository uses HTTPS:
- https://github.com/HDFGroup/hdf5
- https://github.com/HDFGroup/hdf5.git
Reference: README.md#snapshots-previous-releases-and-source-code

3 Download URLs

All download locations use HTTPS:
- Documentation: https://support.hdfgroup.org/documentation/hdf5/latest
- Current releases: https://support.hdfgroup.org/releases/hdf5/v1_14/index.html
- Archived releases: https://support.hdfgroup.org/archive/support/ftp/HDF5/releases/index.html
- Development snapshots: https://github.com/HDFGroup/hdf5/releases/tag/snapshot
- Maven artifacts: https://maven.pkg.github.com/HDFGroup/hdf5
Reference: README.md

4 Help and Support URLs

Support sites use HTTPS:
- Help Desk: https://help.hdfgroup.org
- Forum: https://forum.hdfgroup.org
Reference: README.md#help-and-support

5 License URL

License information uses HTTPS:
- https://www.hdfgroup.org/licenses
Referenced throughout source code files and CONTRIBUTING.md URL: All project URLs use HTTPS (see above) All project sites, repositories, and download locations exclusively use HTTPS with TLS encryption.
Criterion [discussion]
適合

不適合

?

プロジェクトは、議論（提案された変更や問題を含む）のための1つ以上の検索可能なメカニズムを持たなければならず、メッセージやトピックがURLでアドレス指定され、新しい人々がディスカッションのいくつかに参加できるようにしなければならず、クライアント側でプロプライエタリなソフトウェアのインストールを必要としないようにします。 ^[discussion]
受け入れ可能なメカニズムの例には、アーカイブされたメーリングリスト、GitHubのイシューとプルリクエストの議論、Bugzilla、Mantis、Tracなどがあります。非同期ディスカッションメカニズム（IRCなど）は、これらの基準を満たしていれば許容されます。 URLアドレス可能なアーカイブ機構があることを確認してください。独自のJavaScriptは、推奨されませんが、許可されています。
The project has multiple mechanisms for discussion that meet all the requirements:

1 GitHub Issues

The project uses GitHub Issues for bug reports, feature requests, and discussions:
- URL: https://github.com/HDFGroup/hdf5/issues
- Searchable: Yes, GitHub provides full search functionality
- Addressable by URL: Yes, each issue has a unique URL
- Open participation: Yes, anyone with a GitHub account can participate
- No proprietary software: GitHub is accessible via web browser
Reference: CONTRIBUTING.md#contributing-changes states "Open a GitHub issue (https://github.com/HDFGroup/hdf5/issues)"

2 HDF Forum

The project provides a public forum for discussions:
- URL: https://forum.hdfgroup.org
- HDF5 Topics: https://forum.hdfgroup.org/c/hdf5
- News and Announcements: https://forum.hdfgroup.org/c/news-and-announcements-from-the-hdf-group
- Searchable: Yes, described as "open and public service for searching and reading"
- Addressable by URL: Yes, topics have unique URLs
- Open participation: Yes, "Posting requires completing a simple registration"
- No proprietary software: Web-based, accessible via browser
Reference: README.md#forum-and-news states "The HDF Forum is provided for public announcements, technical questions, and discussions of interest to the general HDF5 Community."

3 GitHub Pull Request Discussions

Pull requests enable threaded discussions about proposed changes:
- URL: https://github.com/HDFGroup/hdf5/pulls
- Searchable: Yes
- Addressable by URL: Yes, each PR has a unique URL
- Open participation: Yes, anyone can comment on public PRs
- No proprietary software: Web browser access only
Reference: CONTRIBUTING.md#contributing-changes describes the pull request workflow URL: https://github.com/HDFGroup/hdf5/issues and https://forum.hdfgroup.org All mechanisms are searchable, URL-addressable, open to new participants, and accessible via web browsers without proprietary software installation.
Criterion [english]
適合

不適合

?

プロジェクトは英語で文書を提供し、英語でコードに関するバグ報告とコメントを受け入れることができるべきです。 ^[english]
現在、英語はコンピュータ技術のリンガフランカです。英語をサポートすることで、世界中のさまざまな潜在的な開発者とレビュアーの数を増やします。コア開発者の主要言語が英語でなくても、プロジェクトはこの基準を満たすことができます。
The project provides documentation in English and accepts bug reports and comments in English:

1 Documentation in English All project documentation is written in English:
- README.md - Written in English
- CONTRIBUTING.md - Written in English
- LICENSE - Written in English
- INSTALL files in release_docs/ - Written in English
- CHANGELOG.md - Written in English
- API documentation at https://support.hdfgroup.org/documentation/hdf5/latest - Written in English
- Code comments and Doxygen documentation in source files - Written in English
Reference: All documentation files in the repository

2 Bug Reports in English

The project accepts bug reports in English through multiple channels:
- GitHub Issues: https://github.com/HDFGroup/hdf5/issues - English language platform
- Help Desk: https://help.hdfgroup.org - English language support
- HDF Forum: https://forum.hdfgroup.org - Primary language is English
Reference: README.md#help-and-support states "The HDF Group staffs a free Help Desk accessible at https://help.hdfgroup.org" Reference: CONTRIBUTING.md#contributing-changes states "Open a GitHub issue" for reporting bugs

3 Code Comments in English

All code comments, function documentation, and discussions in pull requests are conducted in English:
- Source code comments - English
- Doxygen annotations in header files - English
- Pull request discussions - English
- Commit messages - English
Reference: Source code files like src/H5Dpublic.h contain English documentation URL: https://github.com/HDFGroup/hdf5/blob/develop/README.md The project provides comprehensive documentation in English and accepts bug reports and code comments in English through GitHub Issues, the Help Desk, and the HDF Forum.
Criterion [maintained]
適合

不適合

?

プロジェクトはメンテナンスされている必要があります。 ^[maintained]
少なくとも、プロジェクトは重大な問題と脆弱性の報告に対応するように努める必要があります。バッジを積極的に追求しているプロジェクトは、おそらくメンテナンスされているでしょう。すべてのプロジェクトや人のリソースには限りがあり、提案された変更をプロジェクトが拒否しなければならないこともあるため、リソースに限りがあることや、提案が拒否されることが、メンテナンスされていないプロジェクトを示すわけではありません。

プロジェクトが今後メンテナンスされなくなることがわかった場合は、この基準を「不適合（Unmet）」に設定し、適切なメカニズムを使用して、メンテナンスされないことを人々に示す必要があります。たとえば、READMEの最初の見出しに「DEPRECATED」（将来のサポートが保証されないので使用すべきでない）を使用し、ホームページの先頭近くに「DEPRECATED」を追加し、コードリポジトリのプロジェクトの説明の先頭に「DEPRECATED」を追加し、そのREADMEおよび/またはホームページにno-maintenance-intendedバッジを追加し、すべてのパッケージリポジトリでdeprecated（非推奨）としてマークしたり（例： npm deprecate ）、コードリポジトリのマーキングシステムを使用してアーカイブします（例：GitHubの"archive" 設定、GitLabの"archived" マーキング、 Gerritの "readonly" ステータス、またはSourceForgeの"abandoned" プロジェクトステータス）。詳細な説明については、こちらを参照してください。
The project is actively maintained:

1 Recent Commit Activity

The git status shows recent commits to the develop branch (as of 12/25):

2 Active CI/CD System

README.md shows multiple active CI/CD badges indicating continuous testing:
- develop cmake build status
- HDF5 develop daily build
- netCDF build status
- h5py build status
- CVE regression testing
- HDF5 VOL connectors build status
- HDF5 VFD build status
- Link checker status
Reference: README.md displays active build status badges

3 Active Issue and Pull Request System

The project uses GitHub Issues and Pull Requests for ongoing maintenance:
- GitHub Issues: https://github.com/HDFGroup/hdf5/issues
- Pull Requests referenced in recent commits (e.g., #6070, #6075, #6039, #6049, #6066)
4 Ongoing Development Roadmap

README.md shows active development with planned features:
- Major update on March 10, 2025 (CMake-only builds)
- Future roadmap includes: Multi-threaded HDF5, crashproofing, Full SWMR, encryption, etc.
Reference: README.md states "HDF5 version 2.0.1 currently under development"

5 Dedicated Maintainer

The HDF Group is the official maintainer:
- Website: https://www.hdfgroup.org/
- Help Desk: https://help.hdfgroup.org
- Forum: https://forum.hdfgroup.org
Reference: README.md states "The HDF Group is the developer, maintainer, and steward of HDF5 software"

6 Regular Release Schedule

README.md describes the release approach:
- "HDF5 does not follow a regular release schedule. Instead, updates are based on the introduction of new features and the resolution of bugs. However, we aim to have at least one annual release for each maintenance branch."
- Release progress badge shows active release planning
URL: https://github.com/HDFGroup/hdf5 The project is actively maintained by The HDF Group with recent commits, active CI/CD, ongoing issue resolution, and planned future development.

プロジェクトに関するその他の一般的なコメント

報告 7/8 ●

バグ報告プロセス
Criterion [report_process]
適合

不適合

?

プロジェクトは、ユーザーが不具合報告を送信するプロセスを提供しなければなりません（たとえば、課題トラッカーやメーリングリストを使用します）。 (URLが必要です) ^{[report_process]}
The project provides multiple processes for users to submit bug reports:

1 GitHub Issues (Primary Bug Reporting Mechanism)

The project uses GitHub Issues as the primary bug reporting system:
- URL: https://github.com/HDFGroup/hdf5/issues
Reference: CONTRIBUTING.md#contributing-changes states: "1. Open a GitHub issue (HDF5 Issues) - Required unless the change is minor (e.g., typo fix). - Describe the problem or feature request clearly." Reference: README.md#help-and-support mentions GitHub Issues as a reporting mechanism

2 Help Desk

The HDF Group provides a free Help Desk for bug reports and support:
- URL: https://help.hdfgroup.org
Reference: README.md#help-and-support states: "The HDF Group staffs a free Help Desk accessible at https://help.hdfgroup.org and also monitors the Forum. Our free support service is community-based and handled as time allows."

3 HDF Forum

Users can report bugs and discuss issues on the HDF Forum:
- URL: https://forum.hdfgroup.org
- HDF5 Topics: https://forum.hdfgroup.org/c/hdf5
Reference: README.md#forum-and-news states: "The HDF Forum is provided for public announcements, technical questions, and discussions of interest to the general HDF5 Community."

4 Issue Tracker is Searchable and Public

The GitHub issue tracker is:
- Publicly accessible
- Searchable
- Does not require proprietary software
- Allows new users to participate
Reference: CONTRIBUTING.md confirms GitHub Issues are used for bug reports and feature requests

5 Bug Report Requirements

CONTRIBUTING.md describes when to open issues:
- "Required unless the change is minor (e.g., typo fix)"
- "Describe the problem or feature request clearly"
URL: https://github.com/HDFGroup/hdf5/issues The project provides a clear process for users to submit bug reports through GitHub Issues (primary), Help Desk, and the HDF Forum.
Criterion [report_tracker]
適合

不適合

?

プロジェクトは、個々の課題を追跡するための課題トラッカーを使用するべきです。 ^{[report_tracker]}
The project uses GitHub Issues as an issue tracker for tracking individual issues:

1 GitHub Issues Used for Issue Tracking

The project uses GitHub's built-in issue tracker:
- URL: https://github.com/HDFGroup/hdf5/issues
Reference: CONTRIBUTING.md#contributing-changes states: "1. Open a GitHub issue (HDF5 Issues) - Required unless the change is minor (e.g., typo fix). - Describe the problem or feature request clearly."

2 Individual Issue Tracking

Each bug report and feature request gets its own individual issue with:
- Unique issue number (e.g., #5577, #5380, #5578)
- Individual URL for each issue
- Status tracking (open/closed)
- Labels and assignments
Reference: CHANGELOG.md references specific GitHub issues.

3 Pull Requests Reference Issues

CONTRIBUTING.md requires pull requests to reference issues:
- "Make sure to include the issue that the PR addresses in the description"
This creates traceability between code changes and individual issues. Reference: CONTRIBUTING.md#contributing-changes

4 Evidence of Active Issue Tracking

Recent commits reference issue numbers:
- "#6070" in commit "Improved usage information (#6070)"
- "#6075" in commit "Bump the github-actions group with 6 updates (#6075)" " #6039" in commit "Minor optimizations of r-tree implementation (#6039)"
5 Issue Tracker Features

GitHub Issues provides:
- Individual issue URLs (e.g., https://github.com/HDFGroup/hdf5/issues/5577)
- Search functionality
- Labels and milestones
- Assignment to developers
- Discussion threads
- Status tracking
URL: https://github.com/HDFGroup/hdf5/issues The project actively uses GitHub Issues as an issue tracker for tracking individual bugs, feature requests, and security vulnerabilities.
Criterion [report_responses]
適合

不適合

?

このプロジェクトは、過去2〜12か月間に提出された多数のバグ報告の受領を認めなければなりません。応答に修正を含める必要はありません。 ^{[report_responses]}
The project has a triage procedure for issues as they come in:

1 GitHub Project for Triage

The project uses GitHub Projects for issue triage:
- URL: https://github.com/orgs/HDFGroup/projects/39
This is the project management board where issues are triaged and tracked.

2 Release Progress Tracking

README.md references this project board:
- "Release Progress" badge links to: https://github.com/orgs/HDFGroup/projects/39/views/24
- The badge shows current progress of release-blocking issues
Reference: README.md#release-progress states: "The badge above shows the current progress of release-blocking issues with colors that reflect completion status" "Click the badge to view the detailed project board with current release-blocking issues."

3 Active Project Management

The project board indicates:
- Issues are categorized and tracked
- Release-blocking issues are identified
- Progress is monitored with completion percentages
- Multiple views available (view/24 suggests different perspectives on the same issues)
4 Organizational Structure

The project board is at the organization level (orgs/HDFGroup/projects/39):
- Centralized issue management
- Visible to the community
- Integrated with GitHub Issues workflow
5 Triage Indicators

The existence of this project board suggests:
- Issues are reviewed and categorized as they come in
- Release-blocking vs non-blocking issues are identified
- Priority and status are tracked
- Progress is publicly visible
URL: https://github.com/orgs/HDFGroup/projects/39 The project has an active triage procedure using GitHub Projects (project #39) to manage and categorize issues as they are submitted.
Criterion [enhancement_responses]
適合

不適合

?

プロジェクトは、直近2〜12ヶ月（2ヶ月を含む）に増強要求の多数（> 50％）に対応すべきです。 ^{[enhancement_responses]}
応答は、「いいえ」や、そのメリットについての議論であってもよいです。目標は、単にプロジェクトがまだ生きていることを示している、いくつかの要求に対する応答があることです。この基準のために、プロジェクトは偽のリクエスト（スパマーや自動システムなど）をカウントする必要はありません。プロジェクトで機能強化が行われていない場合は、「満足されない」（unmet）を選択し、この状況をユーザーに明確にするURLを含めてください。プロジェクトが強化要求の数によって圧倒される傾向がある場合は、「満足されない」（unmet）を選択して説明してください。
Enhancement requests are responded to through a weekly triage procedure:

1 Weekly Triage Procedure

Enhancement requests are responded to weekly through the triage procedure using the GitHub Projects board:
```
* URL: https://github.com/orgs/HDFGroup/projects/39
```
This ensures regular review and response to incoming enhancement requests.
Criterion [report_archive]
適合

不適合

?

プロジェクトは、後で検索するために、レポートとレスポンスのアーカイブを公開する必要があります。 (URLが必要です) ^{[report_archive]}
The project has publicly available archives for reports and responses that are searchable:

1 GitHub Issues Archive

GitHub Issues provides a permanent, publicly searchable archive:
- URL: https://github.com/HDFGroup/hdf5/issues
- All issues (open and closed) are archived
- Searchable by keyword, label, date, author, etc.
- Includes all comments and responses
- Accessible without authentication for reading
Reference: CONTRIBUTING.md states "Open a GitHub issue (https://github.com/HDFGroup/hdf5/issues)"

2 GitHub Pull Requests Archive

Pull requests and their discussions are archived:
- URL: https://github.com/HDFGroup/hdf5/pulls
- Searchable history of all pull requests
- Includes code review comments and discussions
- Linked to related issues
3 HDF Forum Archive

The HDF Forum provides searchable archives:
- URL: https://forum.hdfgroup.org
- HDF5 Topics: https://forum.hdfgroup.org/c/hdf5
Reference: README.md#forum-and-news states: "These forums are provided as an open and public service for searching and reading."

4 Permanent Record in Git History

All changes and their associated discussions are permanently recorded:
- Commit messages reference issues (e.g., "#5577", "#5380")
- Git history: https://github.com/HDFGroup/hdf5/commits/develop
- Publicly accessible and searchable
5 CHANGELOG and Historical Documentation

Release notes archive historical issues:
- CHANGELOG.md archives bug fixes and enhancements
- HISTORY-*.txt files contain historical issue records
- References to GitHub issues and CVE numbers
Reference: release_docs/CHANGELOG.md contains archived issue references URL: https://github.com/HDFGroup/hdf5/issues

The project maintains publicly available, searchable archives for bug reports and responses through GitHub Issues, Pull Requests, the HDF Forum, and documentation files.
脆弱性報告プロセス
Criterion [vulnerability_report_process]
適合

不適合

?

プロジェクトは、脆弱性を報告するプロセスをプロジェクトサイトに公開しなければなりません。 (URLが必要です) ^{[vulnerability_report_process]}
たとえば、https：// PROJECTSITE / securityの明示的に指定されたメールアドレスで、これはしばしばsecurity@example.orgの形式です。これはバグ報告プロセスと同じかもしれません。脆弱性レポートは常に公開される可能性がありますが、多くのプロジェクトでは、プライベート脆弱性を報告するメカニズムがあります。
The project publishes the process for reporting vulnerabilities on the project site:

1 SECURITY.md File in Repository

The project has a SECURITY.md file in the repository root that documents the vulnerability reporting process:
- File location: /SECURITY.md
- Publicly accessible in the repository
2 Vulnerability Reporting Process Documented

SECURITY.md clearly describes how to report vulnerabilities:
- "If you have discovered a security vulnerability in this project, please report it privately."
- "Do not disclose it as a public issue."
- Provides rationale: "This gives us time to work with you to fix the issue before public exposure"
3 Reporting Mechanism Specified

The document provides the specific method for reporting:
- "Please disclose it at security advisory"
- URL: https://github.com/HDFGroup/hdf5/security/advisories/new
This uses GitHub's private security advisory feature.

4 Supported Versions Documented

SECURITY.md specifies which versions receive security updates:
- "Security updates are applied only to the latest release."
This helps reporters understand which versions are supported.

5 GitHub Security Advisory Integration

GitHub automatically surfaces SECURITY.md to users:
- Visible in the repository's "Security" tab
- Linked from GitHub's security reporting interface
- Standard location for security policies
URL: https://github.com/HDFGroup/hdf5/blob/develop/SECURITY.md The project publishes its vulnerability reporting process in SECURITY.md, instructing users to report vulnerabilities privately via GitHub Security Advisories at https://github.com/HDFGroup/hdf5/security/advisories/new.
Criterion [vulnerability_report_private]
適合

不適合

該当なし

?

プライベート脆弱性報告がサポートされている場合、プロジェクトは、プライベートに保持された方法で情報を送信する方法を含んでいなくてはなりません。 (URLが必要です) ^{[vulnerability_report_private]}
例としては、HTTPS（TLS）を使用してWeb上に提出されたプライベート不具合報告や、OpenPGPを使用して暗号化された電子メールがあります。脆弱性報告が常に公開されている場合（プライベート脆弱性報告は存在しないため）、「該当なし」（N / A）を選択します。
The SECURITY.md file specifies how to send vulnerability information privately:

1 Private Reporting Method Specified SECURITY.md states: * "If you have discovered a security vulnerability in this project, please report it privately." * "Do not disclose it as a public issue." * "Please disclose it at security advisory" URL provided: https://github.com/HDFGroup/hdf5/security/advisories/new

2 GitHub Security Advisories Keep Reports Private

The specified method (GitHub Security Advisories) is a private reporting channel:
- Reports submitted through this URL are private by default
- Only visible to project maintainers
- Not disclosed publicly until a fix is ready
- Explanation Provided
SECURITY.md explains why private reporting is important: * "This gives us time to work with you to fix the issue before public exposure, reducing the chance that the exploit will be used before a patch is released."

URL: https://github.com/HDFGroup/hdf5/blob/develop/SECURITY.md The project includes instructions for sending vulnerability information privately via GitHub Security Advisories at https://github.com/HDFGroup/hdf5/security/advisories/new.
Criterion [vulnerability_report_response]
適合

不適合

該当なし

?

過去6ヶ月間に受け取った脆弱性報告に対するプロジェクトの初期応答時間は、14日以下でなければなりません。 ^{[vulnerability_report_response]}
過去6か月間に脆弱性が報告されていない場合は、「該当なし」（N/A）を選択します。

There is no current procedure in place to meet this requirement. It is under advisement to add one.

分析 6/8 ●

静的コード解析

Criterion [static_analysis]
適合

不適合

該当なし

?

選択した言語でこの基準を実装するFLOSSツールが少なくとも1つある場合、少なくとも1つの静的コード分析ツール（コンパイラの警告と「安全な」言語モード以外）を、ソフトウェアの主要な製品リリースの提案に、リリース前に適用する必要があります。 ^{[static_analysis]}
静的コード解析ツールは、ソフトウェアコードを実行せずに特定の入力を用いて（ソースコード、中間コード、または実行可能ファイルとして）調べます。この基準のために、コンパイラの警告と「安全な」言語モードは、静的コード解析ツールとしてカウントされません（これらは通常、速度が重要なため深い解析を行いません）。このような静的コード解析ツールの例には、cppcheck (C, C++)、clang静的解析 (C, C++)、SpotBugs (Java)、FindBugs (Java) (FindSecurityBugsを含む)、PMD (Java)、Brakeman (Ruby on Rails)、lintr (R)、goodpractice (R), Coverity Quality Analyzer、SonarQube、 Codacyおよび HP Enterprise Fortify Static Code Analyzer.大きなツールのリストは、静的コード解析のためのWikipediaツール一覧, 静的コード解析に関するOWASP情報、 NISTソースコードセキュリティアナライザのリスト、およびウィーラーの静的解析ツール一覧などがあります。使用する実装言語で使用できるFLOSS静的解析ツールがない場合は、「該当なし」（N/A）を選択します。

Criterion [static_analysis_common_vulnerabilities]
適合

不適合

該当なし

?

static_analysis基準に使用される静的解析ツールの少なくとも1つが、分析された言語または環境における共通の脆弱性を探すためのルールまたはアプローチを含むことが、推奨されています。 ^{[static_analysis_common_vulnerabilities]}
一般的な脆弱性を探すために特別に設計された静的解析ツールは、それらを見つける可能性が高いです。つまり、静的ツールを使用すると、通常は問題を見つけるのに役立ちますので、利用を提案しますが、「合格」レベルのバッジには要求しません。

Criterion [static_analysis_fixed]
適合

不適合

該当なし

?

静的コード解析で発見された中程度および重大度の悪用可能な脆弱性はすべて、それらが確認された後、適時に修正されなくてはなりません。 ^{[static_analysis_fixed]}
Common Vulnerability Scoring System (CVSS)の基本的な定性的なスコアが中程度以上であれば、脆弱性は中程度以上の深刻度とみなされます。CVSS のバージョン 2.0 から 3.1 では、これは CVSS のスコア 4.0 以上に相当します。プロジェクトは、広く利用されている脆弱性データベース（国家脆弱性データベースなど）で公開されているCVSSスコアを、そのデータベースで報告されている最新バージョンのCVSSを用いて使用することができます。また、脆弱性が公開された時点で計算入力が公開されている場合には、脆弱性が公開された時点でのCVSSの最新バージョンを用いて深刻度を計算することもできます。基準 vulnerabilities_fixed_60_days では、公開後 60 日以内にすべての脆弱性を修正することが要求されていることに注意してください。

Criterion [static_analysis_often]
適合

不適合

該当なし

?

静的ソースコード解析は、コミットごと、または少なくとも毎日実行することをお勧めします。 ^{[static_analysis_often]}

動的コード分析

Criterion [dynamic_analysis]
適合

不適合

?

リリース前に、ソフトウェアの主要な製品リリースに少なくとも1つの動的解析ツールを適用することが示唆されています。 ^{[dynamic_analysis]}
動的解析ツールは、ソフトウェアを特定の入力で実行して検査します。たとえば、プロジェクトは、ファジングツール（アメリカンファジーロップなど）やウェブアプリケーションスキャナ（例： ZAP または w3af ）です。場合によっては、 OSS-Fuzz プロジェクトがプロジェクトにファズテストを適用する可能性があります。この基準のために、動的分析ツールは、様々な種類の問題を探すために何らかの方法で入力を変更するかまたは少なくとも80％のブランチカバレッジを持つ自動テストスイートである必要があります。動的解析に関するWikipediaのページとファジングに関するOWASPページで、いくつかの動的解析ツールを特定しています。解析ツールは、セキュリティの脆弱性を探すことに重点を置くことができますが、これは必須ではありません。

Evidence that dynamic analysis tools are applied before major production releases:

1 Multiple Sanitizers in Analysis Workflow

.github/workflows/analysis.yml runs dynamic analysis before releases:

LeakSanitizer: "detects memory leaks"

AddressSanitizer: "fast memory error detector" for buffer overflows, use-after-free, etc.

UndefinedBehaviorSanitizer: detects undefined behavior at runtime

2 Analysis Workflow Integrated into Release Process

From .github/workflows/daily-build.yml: * uses: ./.github/workflows/analysis.yml * This calls the analysis workflow as part of the build process

3 Sanitizer Infrastructure Available

From config/sanitizer/sanitizers.cmake and config/sanitizer/README.md document:

HDF5_USE_SANITIZER CMake variable

Support for Address, Memory, Undefined, Thread, Leak, and CFI sanitizers

All are FLOSS dynamic analysis tools from LLVM/Clang

Reference: config/sanitizer/README.md states: "Sanitizers are tools that perform checks during a program's runtime"

4 Coverage Analysis

From .github/workflows/analysis.yml:

Code coverage testing with gcov/lcov

While primarily for coverage metrics, it requires executing tests (dynamic analysis)

5 OSS-Fuzz Integration

README.md shows OSS-Fuzz badge:

Continuous fuzzing (dynamic analysis for vulnerability detection)

Indicates ongoing dynamic analysis

6 Sanitizers Run on Multiple Configurations

analysis.yml shows sanitizers run with:

Different compilers (Clang)

Different configurations

Automated in CI/CD pipeline

The project applies multiple FLOSS dynamic analysis tools (LeakSanitizer, AddressSanitizer, UndefinedBehaviorSanitizer, and fuzzing) before releases through automated workflows.

Criterion [dynamic_analysis_unsafe]
適合

不適合

該当なし

?

プロジェクトで作成されたソフトウェアにメモリ安全でない言語（CやC ++など）を使用して作成されたソフトウェアが含まれている場合、少なくとも1つの動的ツール（たとえば、ファジーまたはウェブアプリケーションスキャナ）を、バッファの上書きなどのメモリの安全性の問題を検出するメカニズムと一緒にいつも使用します。プロジェクトがメモリ安全でない言語で書かれたソフトウェアを作成しない場合は、「該当なし」（N/A）を選択します。 ^{[dynamic_analysis_unsafe]}
メモリの安全性の問題を検出するメカニズムの例としては、アドレスサニタイザー（ASAN）（GCCおよびLLVMで利用可能）、 Memory Sanitizer 、および valgrind が含まれます。他に使用される可能性のあるツールには、スレッドサニタイザと定義されていない動作サニタイザを参照してください。広範なアサーションも機能します。

Evidence that dynamic tools are routinely used with memory safety detection for C/C++ code:

1 HDF5 is Written in Memory-Unsafe Languages

The project is primarily written in C (with C++ and Fortran wrappers):

CONTRIBUTING.md requires "A C11-compatible C compiler"

Source code in src/ is C code

This is a memory-unsafe language

2 AddressSanitizer Detects Memory Safety Problems

.github/workflows/analysis.yml runs AddressSanitizer: * CTEST_MEMORYCHECK_TYPE "AddressSanitizer" * HDF5_USE_SANITIZER:STRING=Address

AddressSanitizer detects:

Buffer overflows (overwrites)

Use-after-free

Double-free

Out-of-bounds accesses

Reference: config/sanitizer/README.md states AddressSanitizer "is useful for detecting most issues dealing with memory, such as: Out of bounds accesses to heap, stack, global"

3 LeakSanitizer for Memory Leaks

.github/workflows/analysis.yml runs LeakSanitizer:

CTEST_MEMORYCHECK_TYPE "LeakSanitizer"

HDF5_USE_SANITIZER:STRING=Leak

4 OSS-Fuzz for Fuzzing

README.md shows OSS-Fuzz badge:

Active fuzzing integration

Fuzzing is a dynamic tool that generates test inputs

Combined with sanitizers to detect memory safety issues

5 Routine Use Through CI/CD

The sanitizers run automatically:

.github/workflows/daily-build.yml calls analysis.yml

Runs on daily schedule

Integrated into continuous testing

6 Multiple Memory Safety Mechanisms

The project combines:

Fuzzing (OSS-Fuzz) - dynamic input generation

AddressSanitizer - detects buffer overwrites and memory errors

LeakSanitizer - detects memory leaks

UndefinedBehaviorSanitizer - detects undefined behavior

The project routinely uses fuzzing (OSS-Fuzz) combined with AddressSanitizer to detect memory safety problems including buffer overwrites in its C/C++ code.

Criterion [dynamic_analysis_enable_assertions]
適合

不適合

?

プロジェクトでは、多くのアサーションを可能にする少なくとも一部の動的分析（テストやファジングなど）の構成を使用することをお勧めします。多くの場合、これらのアサーションは本番ビルドでは有効にしないでください。 ^{[dynamic_analysis_enable_assertions]}
この基準は、本番環境でアサーションを有効にすることを示唆するものではありません。それは完全にプロジェクトとそのユーザーが決定することです。この基準の焦点は、展開前の動的分析中の障害検出を改善することです。プロダクション環境でのアサーションの有効化は、動的分析（テストなど）中にアサーションを有効にすることとはまったく異なります。場合によっては、プロダクション環境でアサーションを有効にすることは非常に賢明ではありません（特に高整合性コンポーネントの場合）。プロダクション環境でアサーションを有効にすることには多くの議論があります。たとえば、ライブラリは呼び出し元をクラッシュさせてはなりません。ライブラリが存在するとアプリストアによる拒否が発生する可能性があります。また、プロダクション環境でアサーションをアクティブにすると、秘密鍵などの秘密データが公開される可能性があります。多くのLinuxディストリビューションではNDEBUGが定義されていないため、これらのディストリビューションのプロダクション環境ではデフォルトで C/C++ assert() が有効になります。これらの環境でのプロダクション環境では、別のアサーションメカニズムを使用するか、 NDEBUGを定義することが重要です。

The project uses configurations with assertions enabled for dynamic analysis:

1 Developer Mode Enables Assertions

CONTRIBUTING.md documents developer build options:

HDF5_ENABLE_DEVELOPER_MODE=ON enables developer-friendly settings

Developer mode is recommended for development builds

2 Sanitizer Builds Use Debug Configuration

.github/workflows/analysis.yml runs sanitizers with Debug configuration:

Coverage test: ctest -S HDF5config.cmake...CTEST_SOURCE_NAME=${{ steps.set-file-base.outputs.SOURCE_BASE }} -C Debug

LeakSanitizer runs with -C Debug

AddressSanitizer runs with -C Debug

UndefinedBehaviorSanitizer runs with -C Debug

Debug builds typically enable assertions that are disabled in release builds.

3 Assertion Macros in Code

CONTRIBUTING.md shows assertion usage in function structure:

FUNC_ENTER_NOAPI(FAIL)

HDassert(/parameter check/);

The HDassert macro is used throughout the codebase for parameter checking.

4 Memory Checker Configuration

CONTRIBUTING.md documents memory checking option:

HDF5_ENABLE_USING_MEMCHECKER:BOOL=ON when using tools like Valgrind

This disables internal memory pools to enable better error detection

Reference: "Use HDF5_ENABLE_USING_MEMCHECKER:BOOL=ON when using tools like Valgrind. This disables internal memory pools that can hide memory issues."

5 Sanitizer Configuration Separate from Production

.github/workflows/analysis.yml shows sanitizer builds are separate:

Different workflow from production builds

Uses specific build options not used in production

Runs in "Sanitize" group/model

6 Coverage Build Uses Debug Settings

.github/workflows/analysis.yml coverage test:

LOCAL_COVERAGE_TEST "TRUE"

DHDF5_ENABLE_COVERAGE:BOOL=ON

Coverage builds run with instrumentation not suitable for production

The project uses Debug configuration with assertions enabled for dynamic analysis (sanitizers, fuzzing, testing), which are separate from production builds.

Criterion [dynamic_analysis_fixed]
適合

不適合

該当なし

?

動的コード分析で発見されたすべての中程度および重大度の悪用可能な脆弱性は、確認された後、適時に修正されなければなりません。 ^{[dynamic_analysis_fixed]}
動的コード分析を実行しておらず、この方法で脆弱性が見つからない場合は、「該当なし」（N/A）を選択してください。 Common Vulnerability Scoring System (CVSS)の基本的な定性的スコアが中以上の場合、脆弱性は中程度以上の重大度と見なされます。 CVSSバージョン2.0から3.1では、これは4.0以上のCVSSスコアに相当します。プロジェクトは、広く使用されている脆弱性データベース（ National Vulnerability Databaseなど）で公開されているCVSSスコアを、そのデータベースで報告されている最新バージョンのCVSSを使用して使用できます。代わりに、脆弱性が公表された後に計算入力が公開された場合、プロジェクトは脆弱性の開示時に最新バージョンのCVSSを使用して重大度を自ら計算することができます。

1 Extensive CVE Fixes Documented

CHANGELOG.md shows that numerous security vulnerabilities have been fixed:

CVE-2025-7067 - Heap buffer overflow in H5FS__sinfo_serialize_node_cb()

CVE-2025-2915 - Heap-based buffer overflow in H5F__accum_free

CVE-2025-7068 - Resource leaks in metadata cache

CVE-2025-6816, CVE-2025-6818, CVE-2025-6856, CVE-2025-2923 - Object header vulnerabilities

And many more...

2 OSS-Fuzz Integration for Discovery

README.md shows OSS-Fuzz badge:

Continuous fuzzing (dynamic analysis) for vulnerability detection

OSS-Fuzz reports vulnerabilities that are then fixed

Reference: OSS-Fuzz badge indicates active participation in continuous fuzzing program

3 CVE Regression Testing

README.md shows CVE regression CI badge:

Automated testing to ensure CVE fixes remain effective

Prevents reintroduction of vulnerabilities

4 Security Advisory Process

SECURITY.md documents vulnerability handling:

Private disclosure process for security vulnerabilities

"This gives us time to work with you to fix the issue before public exposure"

Shows commitment to fixing vulnerabilities before disclosure

5 GitHub Issues Track Vulnerabilities

CHANGELOG.md references GitHub issues for each CVE:

"Fixes GitHub issue #5577" (CVE-2025-7067)

"Fixes GitHub issue #5380" (CVE-2025-2915)

"Fixes GitHub issue #5578" (CVE-2025-7068)

Shows systematic tracking and resolution

6 Multiple Fixes in Single Release

Version 2.0.0 includes fixes for 10+ CVEs, demonstrating:

Active vulnerability remediation

Timely response to discovered issues

Comprehensive fixes are released together

7 Sanitizer Findings Are Addressed

The project runs sanitizers routinely:

AddressSanitizer, LeakSanitizer, UndefinedBehaviorSanitizer

Findings from these tools are used to fix memory safety issues

Many CVE fixes mention sanitizer-detectable issues (buffer overflows, use-after-free, memory leaks)

The project demonstrates timely fixing of exploitable vulnerabilities discovered through dynamic analysis (fuzzing, sanitizers), with extensive CVE fixes documented in CHANGELOG.md and systematic tracking through GitHub issues.

This data is available under the Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0). This means that a Data Recipient may share the Data, with or without modifications, so long as the Data Recipient makes available the text of this agreement with the shared Data. Please credit Scot Breitenfeld and the OpenSSF Best Practices badge contributors.

プロジェクトバッジ登録の所有者： Scot Breitenfeld.
エントリの作成日時 2023-09-05 17:54:26 UTC、 最終更新日 2025-12-03 17:51:05 UTC

HDF5 Library and File Format

基本的情報 13/13 ●

識別情報

基本的なプロジェクトウェブサイトのコンテンツ

FLOSSライセンス

ドキュメンテーション

その他

変更管理 9/9 ●

公開されたバージョン管理ソースリポジトリ

一意的なバージョン番号

リリースノート

報告 7/8 ●

バグ報告プロセス

脆弱性報告プロセス

品質 13/13 ●

作業ビルドシステム

自動テストスイート

新機能テスト

警告フラグ

セキュリティ 14/16 ●

セキュリティに関する開発知識

優良な暗号手法を使用する

MITM（man-in-the-middle：中間者）攻撃に対応できる安全な配信

広く知られた脆弱性を修正

その他のセキュリティ上の課題

分析 6/8 ●

静的コード解析

動的コード分析

HDF5 Library and File Format

基本的情報 13/13 ●

識別情報

基本的なプロジェクト ウェブサイトのコンテンツ

FLOSSライセンス

ドキュメンテーション

その他

変更管理 9/9 ●

公開されたバージョン管理ソースリポジトリ

一意的なバージョン番号

リリースノート

報告 7/8 ●

バグ報告プロセス

脆弱性報告プロセス

品質 13/13 ●

作業ビルドシステム

自動テスト スイート

新機能テスト

警告フラグ

セキュリティ 14/16 ●

セキュリティに関する開発知識

優良な暗号手法を使用する

MITM（man-in-the-middle：中間者）攻撃に対応できる安全な配信

広く知られた脆弱性を修正

その他のセキュリティ上の課題

分析 6/8 ●

静的コード解析

動的コード分析

基本的なプロジェクトウェブサイトのコンテンツ

自動テストスイート