terraform-provider-power-platform

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

ソフトウェアに欠陥や脆弱性がないことを保証する手立てはありません。形式論的な証明ができたとしても、仕様や前提が間違っていると誤動作の可能性があります。また、プロジェクトが健全で、かつ機能的な開発コミュニティであり続けることを保証する手立てもありません。しかし、ベストプラクティスの採用は、プロジェクトの成果の向上に寄与する可能性があります。たとえば、いくつものベストプラクティスがリリース前の複数人によるレビューを定めていますが、それによりレビュー以外では発見困難な技術的脆弱性を見つけるのを助け、同時に異なる企業の開発者間の信頼を築き、さらに交流を続けることに対する意欲を生んでいます。バッジを獲得するには、すべてのMUSTおよびMUST NOT基準を満たさなければなりません。すべてのSHOULD基準も満たさなければなりませんが、正当な理由がある場合は満たさなくても構いません。そしてすべてのSUGGESTED基準も満たさなければなりませんが、満たさないとしても、少なくとも考慮することが望まれます。フィードバックは、 GitHubサイトのissueまたはpull requestとして提示されれば歓迎します。また、議論のためのメールリストも用意されています。

私たちは多言語で情報を提供していますが、翻訳版に矛盾や意味の不一致がある場合は、英語版を正式な記述とします。
これがあなたのプロジェクトなら、あなたのプロジェクトページにあなたのバッジステータスを表示してください!バッジステータスは次のようになります。 プロジェクト 8714 のバッジ レベルは passing です バッジステータスの埋め込み方法は次のとおりです。
バッジステータスを表示するには、あなたのプロジェクトのマークダウンファイルに以下を埋め込みます
[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/8714/badge)](https://www.bestpractices.dev/projects/8714)
あるいは、以下をHTMLに埋め込みます
<a href="https://www.bestpractices.dev/projects/8714"><img src="https://www.bestpractices.dev/projects/8714/badge"></a>


これらはシルバーレベルの基準です。合格またはゴールドレベル基準を表示することもできます。

        

 基本的情報 13/17

  • 識別情報

    他のプロジェクトが同じ名前を使用していないか注意してください。

    Power Platform Terraform Provider

  • 前提要件


    バッジには十分です!

    プロジェクトは合格レベルバッジに達成しなければなりません。 [achieve_passing]

  • 基本的なプロジェクト ウェブサイトのコンテンツ


    バッジには十分です!

    貢献する方法に関する情報には、受け入れ可能な貢献の要件(例えば、必要なコーディング標準への言及)が含まれなければなりません。 (URLが必要です) [contribution_requirements]

    https://github.com/microsoft/terraform-provider-power-platform/blob/main/CONTRIBUTING.md#pull-request-checklist has a checklist on acceptable contributions


  • プロジェクトの管理・運営


    バッジには十分です!

    プロジェクトは、プロジェクト ソフトウェアのそれなりの量を開発しているすべての開発者が、これらの貢献を行うことが法的に認められていると主張すりょうな法的な仕組みを持っていなければなりません。これを行うための最も一般的で簡単に実装されたアプローチは、開発者証明書(DCO)を使用することです。ユーザーは、 DCOのウェブサイトへのプロジェクトのリンクが表示されます。ただし、これはコントリビュータ ライセンス契約(CLA)またはその他の法的な仕組みとして実装することができます。 (URLが必要です) [dco]
    DCOは、実装が容易で、ソースコードで追跡され、gitが "commit -s"を使用して "サインオフ"機能を直接サポートするため、推奨されるメカニズムです。最も効果的であるためには、プロジェクト文書が、そのプロジェクトに対して「サインオフ」とは何を意味するのかを説明するのが最善です。 CLAは、知的著作物が組織またはプロジェクトにライセンスされている条件を定義する法的合意です。コントリビュータ アサイン アグリーメント(CAA)は、知的著作物の権利を他の当事者に移転する法的合意です。プロジェクトはCAAを必ずしも持つ必要はありません。なぜなら、CAAは、特に受領者が営利目的の組織である場合には、潜在的な貢献者が貢献しないリスクを高めます。 Apache Software Foundation CLA(個々のコントリビュータ ライセンスと法人CLA)は、この種のCLAのリスクを判断するプロジェクトにとって、リスクが便益よりも小さいのCLAの例です。

    https://cla.opensource.microsoft.com


    バッジには不十分です。

    プロジェクトは、プロジェクト ガバナンス モデル(主要な役割を含む意思決定方法)を明確に定義し、文書化しなければなりません。 (URLが必要です) [governance]
    決定を下し、論争を解決するための十分に確立された文書化された方法が必要です。小規模なプロジェクトでは、これは「プロジェクトオーナーとリーダーがすべての最終決定を下す」という単純なものです。慈愛の強い独裁者や正式な能力主義を含む様々な統治モデルが存在します。詳細については、統治モデルを参照してください。集中化された(例えば、単一メインテナー)および分散された(例えば、グループ メインテナー)アプローチの両方が、プロジェクトにおいて成功のうちに使用されています。統治情報は、プロジェクトフォークを作成する可能性について文書化する必要はありません。なぜなら、これはFLOSSプロジェクトでは常に可能であるからです。

    バッジには十分です!

    プロジェクトは、行動規範を採択し、標準的な場所に掲示しなければなりません。 (URLが必要です) [code_of_conduct]
    プロジェクトは、地域社会の礼儀正しさを向上させることと、行動規範を採択することで受け入れられる行動についての期待を設定すること、ができるかもしれません。これにより、問題が発生する前に問題を回避し、プロジェクトをより貢献を促す場所にすることができます。これは、プロジェクトのコミュニティ内や職場内の行動にのみ焦点を当てるべきです。行動規範の例としては、以下のようなものがあります。Linuxカーネル行動規範コントリビューター規約行動規範Debian行動規範Ubuntu行動規範Fedora行動規範GNOME行動規範KDEコミュニティ行動規範Pythonコミュニティ行動規範Rubyコミュニティ行動指針、およびRust 行動規範

    https://github.com/microsoft/terraform-provider-power-platform/blob/main/CODE_OF_CONDUCT.md


    バッジには不十分です。

    プロジェクトは、プロジェクトでの重要な役割と役割が実行しなければならないタスクを含む責任を明確に定義し、公的に文書化しなければなりません。誰がどの役割を持っているかは明確でなければなりませんが、これは同じ方法で文書化されていない可能性があります。 (URLが必要です) [roles_responsibilities]
    統治と役割と責任に関する文章は1か所にあるのが良いでしょう。

    Roles and responsibilities are not defined in the repo


    バッジには十分です!

    いずれかの人が仕事を継続できなくなるまたは死亡した場合、プロジェクトは最小限の中断で継続することができなければなりません。特に、プロジェクトは、課題の作成と終了、提案された変更の受け入れ、およびバージョンのソフトウェアのリリース、1週間内に個人が仕事を継続できくなったことまたは死亡したことの確認、行うことができなければならない。これは、他の誰かがプロジェクトを継続するのに必要な鍵、パスワード、法的権利を持っていることを保証することによって行うことができます。 FLOSSプロジェクトを実行する個人は、ロックボックスにキーを提供し、必要な法的権利を提供する意志(例えば、DNS名のために)を提供することによって、これを行うことができます。 (URLが必要です) [access_continuity]

    The repository’s CODEOWNERS file designates the GitHub team @microsoft/power-platform-terraform-maintainers as the default reviewer/approver for every path, ensuring that multiple maintainers—not a single individual—can create issues, merge PRs, and trigger signed releases. If any one maintainer becomes unavailable, other team members still have the permissions and secrets (stored in the organization) to continue project operations within a week, satisfying the access-continuity requirement. https://github.com/microsoft/terraform-provider-power-platform/blob/main/CODEOWNERS


    バッジには十分です!

    プロジェクトは2以上の "バス ファクタ"を持っているべきです。 (URLが必要です) [bus_factor]
    「バス ファクタ」(別名「トラック ファクタ」)は、知見があり有能な人材が離脱して、プロジェクトが停止に至る時に、プロジェクトから突然消失する(「バスに当たった」)プロジェクトメンバーの最小人数です。 トラック ファクタツールは、GitHub上のプロジェクトに対してこれを見積もることができます。詳細については、Cosentino et al。の Gitリポジトリのバス ファクタの評価を参照してください。

    2 significant contributors https://github.com/microsoft/terraform-provider-power-platform/graphs/contributors


  • ドキュメンテーション


    バッジには不十分です。

    プロジェクトは、少なくとも翌年に、プロジェクトが何をしたいか、やるつもりはないかを記述した文書化されたロードマップを持っていなければなりません。 (URLが必要です) [documentation_roadmap]
    このプロジェクトはロードマップを達成できないかもしれません。それは問題ありません。ロードマップの目的は、潜在的なユーザーや貢献者がプロジェクトの意図された方向を理解するのを助けることです。詳細にする必要はありません。

    Follow this for progress https://github.com/microsoft/terraform-provider-power-platform/issues/740


    バッジには十分です!

    プロジェクトは、プロジェクトによって作成されたソフトウェアのアーキテクチャー(いわゆる高水準設計)の文書を含まなければなりません。プロジェクトでソフトウェアが作成されない場合は、「該当なし」(N/A)を選択します。 (URLが必要です) [documentation_architecture]
    ソフトウェア アーキテクチャは、プログラムの基本的な構造、すなわちプログラムの主な構成要素、それらの間の関係、およびこれらの構成要素および関係の主要な特性を説明します。

    https://github.com/microsoft/terraform-provider-power-platform/tree/main/devdocs

    Design and adr docs here


    必須情報が不明、バッジに十分ではありません。

    プロジェクトは、ユーザーが、プロジェクトによって作成されたソフトウェアからセキュリティの観点から期待できるものと期待できないものを文書化しなければなりません。(セキュリティ要件) (URLが必要です) [documentation_security]
    これらは、ソフトウェアが満たすことが意図されているセキュリティ要件です。

    バッジには十分です!

    プロジェクトでは、新規ユーザーがソフトウェアで何かをすばやく実行できるようにするための「クイックスタート」ガイドを提供する必要があります。 (URLが必要です) [documentation_quick_start]
    このアイデアは、ユーザーにソフトウェアを始動させる方法と何かをさせる方法を示すことです。これは潜在的なユーザーが開始するために非常に重要です。

    QuickStart and examples https://github.com/microsoft/terraform-provider-power-platform/blob/main/docs/index.md#examples


    バッジには十分です!

    プロジェクトは、現行バージョンのプロジェクト結果(プロジェクトによって作成されたソフトウェアを含む)とドキュメントの整合性を保つために努力しなければならない。 不一致を招く既知のドキュメントの欠陥は、修正しなければなりません。ドキュメントが一般的に最新のものですが、古い情報が誤って含まれて、もはや正しくない場合は、それを欠陥として扱い、通常どおりに追跡して修正してください。 [documentation_current]
    ドキュメントには、ソフトウェアのバージョン間の相違点や変更点、および/またはドキュメントの古いバージョンへのリンクに関する情報が含まれていてもよいです。この基準の意図は、ドキュメントが完璧である必要があることではなく、ドキュメントの一貫性を保つための努力がなされていることです。

    https://github.com/microsoft/terraform-provider-power-platform/blob/main/docs/index.md


    バッジには十分です!

    プロジェクトのリポジトリのフロントページおよび/またはウェブサイトは、このベストプラクティスのバッジを含め、成果が達成されたことを一般に認められてから48時間以内に特定し、ハイパーリンクする必要があります。 (URLが必要です) [documentation_achievements]
    達成とは、いくつかのバッジを含めて、プロジェクトが具体的に満たしている外部基準のセットです。この情報は、プロジェクトのウェブサイトのフロントページにある必要はありません。 GitHubを使用するプロジェクトは、READMEファイルに追加することで、リポジトリのフロントページに成果を置くことができます。

    https://github.com/microsoft/terraform-provider-power-platform/blob/main/README.md


  • アクセシビリティと国際化


    バッジには十分です!

    プロジェクト(プロジェクト サイトとプロジェクト結果の両方)は、アクセシビリティのベストプラクティスに従い、障害のある人が引き続きプロジェクトに参加し、プロジェクトの結果を合理的な範囲で使用することができるようにするべきです。 [accessibility_best_practices]
    ウェブアプリケーションについては、ウェブ コンテンツ アクセシビリティ ガイドライン(WCAG 2.0)とそのサポート ドキュメント WCAG 2.0の理解; W3Cアクセシビリティ情報を参照してください。 GUIアプリケーションの場合は、環境固有のアクセシビリティ ガイドラインの使用を検討して下さい(GnomeKDEXFCE Android bility/ios/" > iOS Mac Windows )。いくつかのTUIアプリケーション(例えば、「ncurses」プログラム)は、「alpine」の 「force-arrow-cursor」設定のような、よりアクセスしやすくするためにいくつかのことを行うことができます。ほとんどのコマンドライン アプリケーションは、そのままの状態でかなりアクセス可能です。この基準は、例えば、プログラム ライブラリの場合、「該当なし」(N/A)であることが多いです。取り上げるべき行動や考慮すべき課題の例を以下に示します。
    • テキスト以外のコンテンツの代替テキストを提供するkotode, 人々が必要とする他の形式に変更することができます。大きな印刷物、点字、スピーチ、記号またはより単純な言語などです。( WCAG 2.0ガイドライン1.1
    • アクションを示したり、応答を促したり、または視覚的要素を区別するために、色が唯一の視覚的な伝達手段として使用されるわけではありません。( WCAG 2.0ガイドライン1.4.1
    • 大文字、付随的なテキストとロゴタイプを除いて、テキストの視覚的提示とテキストのイメージには、少なくとも4.5:1の比率のコントラストがあります( WCAG 2.0ガイドライン1.4.3
    • キーボードからすべての機能を利用できるようにする(WCAGガイドライン2.1)
    • GUIまたはウェブ ベースのプロジェクトは少なくとも1つターゲットプラットフォーム上のスクリーンリーダーでテストするべきです(例えば、NVDA、Jaws、またはWindows上のWindowEyes; MacとiOSのVoiceOver Linux / BSDのOrca;AndroidのTalkBack)。 TUIプログラムは、スクリーンリーダーによる冗長な読み取りを防止するために、オーバードローを減らせるかもしれません。

    Accessible as a CLI via https://developer.hashicorp.com/terraform/cli/commands


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアは、ターゲット オーディエンスの文化、地域、または言語へのローカリゼーションを容易にするために国際化されるべきです。国際化(i18n)が適用されない場合(たとえば、ソフトウェアがエンドユーザー向けのテキストを生成せず、人間が読めるテキストを扱わない場合)、「該当なし」(N/A)を選択します。 [internationalization]
    ローカリゼーションとは、「特定のターゲット市場(ロケール)の言語、文化、およびその他の要件を満たす、製品、アプリケーションまたはドキュメントのコンテンツの適合を指します」。国際化とは、「文化、地域、言語によって異なるターゲットオーディエンスに対してローカライズを容易にする製品、アプリケーション、またはドキュメントコンテンツの設計と開発」のことです。 ( W3Cの「ローカリゼーションと国際化」を参照してください。)ソフトウェアは国際化されるだけでこの基準を満たします。いったんソフトウェアが国際化されると、他の人がローカライゼーションに取り組むことができるので、別の特定の言語のローカリゼーションは必要ありません。

    This provider is a back-end plugin that exchanges structured data with the Terraform CLI. It emits a small set of diagnostic strings (errors, warnings, and attribute descriptions) aimed at infrastructure engineers, but it has no end-user UI, does not present menus or documentation in-tool, and does not sort or otherwise process human-readable text. Because the software’s primary interface is machine-readable configuration, internationalization is not relevant to its function.


  • その他


    バッジには十分です!

    プロジェクト サイト(ウェブサイト、リポジトリ、およびダウンロードURL)が外部ユーザーの認証用のパスワードを格納する場合、パスワードは、キーストレッチ(反復)アルゴリズム(PBKDF2、Bcrypt、Scrypt、PBKDF2など)を使用してユーザーごとのソルトで反復ハッシュとして保存する必要があります。プロジェクトサイトがこの目的のためにパスワードを保存しない場合は、「該当なし」(N/A)を選択します。 [sites_password_security]
    GitHub の使用はこの基準を満たしていることに注意してください。この基準は、プロジェクト サイトへの外部ユーザーの認証に使用されるパスワードにのみ適用されます(別名インバウンド認証)。プロジェクト サイトが他のサイトにログインしなければならない場合(別名:アウトバウンド認証)、その目的のために別の方法で認証トークンを保存する必要があるかもしれません(ハッシュを保存しても意味がないため)。これは、crypto_password_storage の基準を sites_httpsと同様にプロジェクトサイトに適用します。

    Does not store passwords


 変更管理 1/1

  • 以前のバージョン


    バッジには十分です!

    プロジェクトは、最も頻繁に使用される古いバージョンの製品を維持するか、または新しいバージョンへのアップ グレードを提供しなければなりません。アップ グレード方法が困難な場合は、プロジェクトは、アップグレード方法(変更されたインターフェイスや、アップグレードに役立つ詳細な手順など)を記載しなければなりません。 [maintenance_or_update]

    Provides upgrade path to new releases


 報告 3/3

  • バグ報告プロセス


    バッジには十分です!

    プロジェクトは、個々の課題を追跡するための課題トラッカーを使用する必要があります。 [report_tracker]

    https://github.com/microsoft/terraform-provider-power-platform/issues


  • 脆弱性報告プロセス


    バッジには十分です!

    プロジェクトは、匿名の報告者を除いて、過去12ヶ月間に解決されたすべての脆弱性の報告者に信用していることを伝えなければなりません。過去12ヶ月間に解決された脆弱性がない場合は、「該当なし」(N / A)を選択します。 (URLが必要です) [vulnerability_report_credit]

    Vulnerability credited https://github.com/microsoft/terraform-provider-power-platform/security/advisories


    バッジには十分です!

    プロジェクトには、脆弱性レポートに対応するための文書化されたプロセスがなければなりません。 (URLが必要です) [vulnerability_response_process]
    これはvulnerability_report_processに強く関連しており、脆弱性を報告するための文書化された方法が必要です。これは、特定の時間枠内の脆弱性レポートへの応答を必要とする、vulnerability_report_responseにも関連しています。

    https://github.com/microsoft/terraform-provider-power-platform/blob/main/SECURITY.md


 品質 18/19

  • コーディング標準


    バッジには十分です!

    プロジェクトは、使用する主要な言語のための特定のコーディング スタイル ガイドを指定しなければなりませんし、貢献が一般にそれに準拠することを要求しなければなりません。 (URLが必要です) [coding_standards]
    ほとんどの場合、これはいくつかの既存のスタイル ガイドを参照し、おそらく差異をリストすることによって行われます。これらのスタイル ガイドには、可読性を向上させる方法や、欠陥(脆弱性を含む)の可能性を減らす方法が含まれています。多くのプログラミング言語には、広く使用されているスタイル ガイドが1つ以上あります。スタイルガイドの例には、 Googleスタイル ガイド SEI CERTコーディング標準を参照してください。

    DEVELOPER.md instructs contributors to run make precommit, which enforces go fmt and golangci-lint checks; the latter applies Go’s official Code Review Comments style guide and blocks PRs that do not comply. https://github.com/microsoft/terraform-provider-power-platform/blob/main/DEVELOPER.md#L60-L61


    バッジには十分です!

    選択した言語において行うことができるFLOSSツールが少なくとも1つあれば、プロジェクトは自動的に選択したコーディングスタイルを適用しなければなりません。 [coding_standards_enforced]
    これは、静的解析ツールを使用して、および/またはコード再フォーマットを介してコードを強制することによって実装することができます。多くの場合、ツールの設定は、プロジェクトのリポジトリに含まれます(プロジェクトによって異なる設定が選択される可能性があるため)。プロジェクトはスタイルの例外を許可するかもしれません(通常はそうなります)。例外が発生した場合は、それらの場所のコードでまれで、文書化されていなければなりませんので、それらの例外が再検討され、ツールが将来自動的にそれらを処理できるようにできます。このようなツールの例には、ESLint(JavaScript)、Rubocop(Ruby)、および devtools check (R)があります。

    Enforced with golangci https://github.com/microsoft/terraform-provider-power-platform/blob/main/.golangci.yml


  • 作業ビルドシステム


    バッジには十分です!

    ネイティブ バイナリのビルドシステムは、それらに渡される関連するコンパイラおよびリンカ(環境)変数(CC、CFLAGS、CXX、CXXFLAGS、LDFLAGSなど)を受け入れ、コンパイラおよびリンカ呼び出しに渡す必要があります。ビルド システムは追加のフラグでそれらを拡張するかもしれません。提供された値を単にそれ自身のものに置き換えてはいけません。ネイティブバイナリが生成されていない場合は、「該当なし」(N/A)を選択します。 [build_standard_variables]
    Address Sanitizer(ASAN)などの特別なビルド機能を有効にしたり、ディストリビューション強化のベストプラクティスに準拠したりするのは簡単です(コンパイラフラグを簡単にオンにするなどして)。

    The build_standard_variables criterion does not apply to this provider.

    Summary

    The project compiles pure-Go binaries with CGO explicitly disabled (CGO_ENABLED=0). Because no C/C++ compiler or linker is invoked, environment variables such as CC, CFLAGS, CXXFLAGS, or LDFLAGS are irrelevant; therefore the correct questionnaire answer is N/A.

    Evidence that CGO is disabled • The GoReleaser build stanza sets CGO_ENABLED=0, ensuring every release build is pure Go and statically linked.  • Go’s own documentation explains that setting CGO_ENABLED=0 bypasses the ​cgo​ tool and thus avoids any dependence on external C tool-chains.  • Community guides show that CGO_ENABLED=0 go build is the standard way to build Go binaries without honoring CC, CFLAGS, etc. 

    Implications

    Because the provider never calls a native compiler: • Users enable hardening features such as ASan or custom linker flags through Go’s mechanisms (-gcflags, -ldflags) rather than the POSIX variables referenced by the criterion. • There is no risk that the build system will ignore or overwrite CC, CFLAGS, or similar variables, as they are unused.

    Conclusion

    Select “Not applicable (N/A)” for build_standard_variables, with the justification: “The project is built with CGO_ENABLED=0; no native compiler or linker is used, so CC/CFLAGS/CXXFLAGS/LDFLAGS do not apply.”


    かろうじてバッジには十分です。

    ビルドとインストール システムは、関連するフラグ(例えば、 "install -s"が使用されていない)で要求されたデバッグ情報を保存しておくべきです。ビルドやインストール システムがない場合(例:一般的なJavaScriptライブラリ)は、「該当なし」(N/A)を選択します。 [build_preserve_debug]
    すなわち、CFLAGS(C)またはCXXFLAGS(C ++)を設定すると、それらの言語が使用されている場合に、関連デバッグ情報が作成されるべきですし、インストール時には削除するべきではありません。デバッグ情報は、サポートと分析のために必要であり、コンパイルされたバイナリのハードニング機能の存在を測定するのにも役立ちます。

    Will be fixed. Follow progress here https://github.com/microsoft/terraform-provider-power-platform/issues/736


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアのビルド システムは、サブディレクトリに相互依存関係がある場合、再帰的にサブディレクトリをビルドしてはなりません。ビルドやインストール システムがない場合(例:一般的なJavaScriptライブラリ)は、「該当なし」(N/A)を選択します。 [build_non_recursive]
    プロジェクトのビルド システムの内部依存情報は、正確でなければなりません。そうでないと、プロジェクトへの変更が正しくビルドされないことがあります。ビルドが正しくないと、欠陥(脆弱性を含む)が発生する可能性があります。大規模ビルドシステムでよく見られる間違いは、ソースファイルを含むサブディレクトリの階層で、各サブディレクトリが独立してビルドされるとき、「再帰的ビルド」か「再帰的Make」を使用することです。各サブディレクトリが完全に独立していない限り、依存関係の情報が正しくないため、これらを使用することは間違いです。

    The Power Platform Terraform provider’s build process relies on Go’s module-aware go build tool and a single top-level Makefile that triggers that tool once per command. Because Go’s build tool automatically understands and orders all package dependencies, no sub-directory is built in isolation, so there is no risk of the “recursive-make” dependency-skew problem that the criterion seeks to avoid. Therefore the project meets the build_non_recursive requirement.


    バッジには十分です!

    プロジェクトは、ソースファイルから情報を生成するプロセスを繰り返すことができなければならず、ビット単位でまったく同じ結果を得ることができなければなりません。ビルドが発生しない場合(例えば、ソースコードをコンパイルする代わりに直接使用するスクリプト言語)は、「該当なし」(N/A)を選択します。 [build_repeatable]
    GCCとclangのユーザーには、-frandom-seedオプションが有用であるかもしれません。場合によっては、ソート順を強制することで解決できます。 再現可能なビルドサイトで、より多くの提案を見つけることができます。

    The provider’s build is already bit-for-bit repeatable, so the correct questionnaire answer for build_repeatable is Met.

    Why the build is deterministic 1. Fixed module timestamp – .goreleaser.yml sets mod_timestamp: "{{ .CommitTimestamp }}", forcing the file-modification time on every compiled object to the commit’s Unix epoch, not the current clock time. This removes the usual time-of-build entropy. 2. Path-independent binaries – The -trimpath flag is passed to go build, stripping absolute source paths so that two builders working in different directory trees still emit identical bytes. 3. Version and VCS data pinned to commit – Linker flags embed ProviderVersion, Commit, and Branch, each derived from GoReleaser’s templated values; rebuilding the same tag or commit repeats those constants verbatim. 4. CGO disabled – CGO_ENABLED=0 eliminates variability from external C compilers and host libraries, one of the key prerequisites called out by Go’s reproducible-build guidance. 5. Reproducible-build best-practice alignment – GoReleaser’s own reproducible-build guide recommends exactly this trio (-trimpath, mod_timestamp: "{{ .CommitTimestamp }}", CGO disabled) to achieve bit-for-bit outputs across machines and times. Go’s toolchain maintainers confirm that, with those settings, Go binaries rebuild identically given the same source and toolchain versions.


  • インストールシステム


    バッジには十分です!

    プロジェクトは、プロジェクトで作成されたソフトウェアを一般的に使用されているやり方で簡単にインストールおよびアンインストールする方法を提供する必要があります。 [installation_common]
    たとえば、パッケージマネージャー(システムまたは言語レベル)、「make install / uninstall」(DESTDIRをサポート)、標準形式のコンテナー、または標準形式の仮想マシンイメージを使用することが挙げられます。インストールとアンインストールのプロセス(たとえば、パッケージング)は、FLOSSである限り、サードパーティによって実装されてもよいです。

    The software is distributed through the public Terraform Registry, so a user installs it with the conventional workflow (terraform init downloads the declared provider) and removes or upgrades it through the same CLI-managed plugin cache. This leverages Terraform’s language-level package-management convention, satisfying the requirement for an easy, commonly-used installation and uninstallation method. https://registry.terraform.io/providers/microsoft/power-platform/latest/docs


    バッジには十分です!

    エンドユーザ用のインストール システムは、インストール時にビルドされる生成物が書き込まれる場所を選択するための標準的な規則を守らなければなりません。たとえば、POSIXシステムにファイルをインストールする場合は、DESTDIR環境変数を守らなければなりません。インストール システムがない場合や標準的な規約がない場合は、「該当なし」(N / A)を選択します。 [installation_standard_variables]

    The provider has no installer of its own; Terraform’s CLI downloads the release binary to its internal plugin cache (~/.terraform.d/plugins or the path set by the user-configurable plugin_cache_dir). Because the project does not run an install script that could honor variables like DESTDIR, the requirement does not apply. https://developer.hashicorp.com/terraform/cli/config/config-file#plugin_cache_dir


    バッジには十分です!

    プロジェクトは、潜在的な開発者がすべてのプロジェクト結果を迅速にインストールし、テストやテスト環境を含む変更を行うために必要な環境を迅速にインストールする方法を提供しなければなりません。これは、一般に使用されている手法で実行する必要があります。 [installation_development_quick]
    これは生成されたコンテナおよび/またはインストール スクリプトを使用して実装できます。外部依存部分は、典型的には、external_dependenciesごとにシステムおよび/または言語パッケージマネージャを呼び出すことによってインストールされます。

    The repository includes a VS Code Dev Container (.devcontainer/) whose install.sh script automatically installs Go, Terraform, tfplugindocs, Delve, linting tools, and test dependencies; developers open the project in Codespaces or “Remote-Containers,” wait for the container to build, and are immediately ready to edit, run tests, and debug. This one-step Dev Container setup fulfills the requirement for a quick, convention-based development environment. https://github.com/microsoft/terraform-provider-power-platform/blob/main/.devcontainer/features/local_provider_dev/install.sh


  • 外部で維持管理されるコンポーネント


    バッジには十分です!

    プロジェクトは、外部依存関係をコンピュータ処理可能な方法でリストしなければなりません。 (URLが必要です) [external_dependencies]
    通常、これはパッケージ マネージャーやビルドシステムのやり方を使用して行われます。これは installation_development_quick の実装に役立ちます。

    All external libraries are declared in go.mod, the standard machine-readable manifest for Go modules, enabling automated tooling to resolve exact versions. https://github.com/microsoft/terraform-provider-power-platform/blob/main/go.mod


    バッジには十分です!

    プロジェクトは、既知の脆弱性を検出し、悪用可能な脆弱性を修正したり、悪用できない脆弱性として確認するために、外部の依存先(コンビニエンス コピーを含む)を監視または定期的にチェックしなければなりません。 [dependency_monitoring]
    これは、 OWASPのDependency-Check SinatypeのNexus Auditor SynopsysのBlack Duck Software Composition Analysis Bundler-audit (Rubyの場合)などのオリジンアナライザー/依存性検査ツールを使用して行うことができます。パッケージ マネージャーには、これを行うためのメカニズムが含まれています。コンポーネントの脆弱性を悪用することはできない場合、分析が難しいが、単に更新または修正する方が簡単なであれば、それは許容できます。

    The repository uses GitHub Dependabot for Go modules and Terraform modules, configured in .github/dependabot.yml; Dependabot automatically checks for vulnerable versions and opens PRs to update them, providing continuous dependency-vulnerability monitoring. https://github.com/microsoft/terraform-provider-power-platform/blob/main/.github/dependabot.yml


    バッジには十分です!

    プロジェクトは
    1. 再使用された外部管理コンポーネントの識別と更新を容易にできるようにしている、 または
    2. システムまたはプログラミング言語によって提供される標準コンポーネントを使用している
    のどちらかでなければなりません。そうすれば、再利用されたコンポーネントに脆弱性が見つかった場合に、そのコンポーネントを簡単に更新することができます。 [updateable_reused_components]
    この基準を満たす典型的な方法は、システムおよびプログラミング言語のパッケージ管理システムを使用することです。多くのFLOSSプログラムは、標準ライブラリーのローカルコピーである "コンビニエンス ライブラリー"と一緒に頒布されます(フォークされている可能性があります)。それ自体は、それでいいです。しかし、プログラムがこれらのローカルな(フォークされた)コピーを使用しなければならない場合、 セキュリティ アップデートとして"標準"ライブラリをアップデートすると、これらの追加のコピーは依然として脆弱のままです。これは、特にクラウド ベース システムの問題です。クラウド プロバイダが "標準"ライブラリを更新してもプログラムがそれらを使用しない場合、更新プログラムは実際には役に立ちません。たとえば、「Chromium:適切なパッケージとしてFedoraにまだない理由は何ですか?」Tom Callaway著を参照してください。

    All third-party code is pulled via Go modules (see go.mod), and the repository contains no forked “convenience” copies; updating any dependency is a single go get -u (or Dependabot PR) away, satisfying the requirement that reused components be readily identifiable and updatable. https://github.com/microsoft/terraform-provider-power-platform/blob/main/go.mod


    バッジには十分です!

    プロジェクトは、使用するテクノロジ セット(その "テクノロジ スタック")において、プロジェクトがサポートするユーザの超大多数がFLOSSの代替案を利用可能な(ユーザが代替手段にアクセスしている)場合には、評価の低いまたは時代遅れの機能とAPIの使用を避けるべきです。 [interfaces_current]

    The provider relies on actively-maintained interfaces—e.g., github.com/hashicorp/terraform-plugin-sdk/v2, the current SDK, instead of the deprecated v1 line—and standard Go packages that are not flagged as obsolete. No deprecated HashiCorp SDKs or outdated Go APIs appear in go.mod, demonstrating that the project keeps to current, supported interfaces. https://github.com/microsoft/terraform-provider-power-platform/blob/main/go.mod


  • 自動テスト スイート


    バッジには十分です!

    少なくとも1つのブランチの共有リポジトリへの各チェックインに対して、自動テスト スイートが適用される必要があります。このテスト スイートは、テストの成功または失敗に関するレポートを生成しなければなりません。 [automated_integration_testing]
    この要件は、test_continuous_integrationのサブセットと見ることができますが、継続的な統合を範囲外として、テストだけに焦点を当てています。

    Every push and pull-request triggers the “Terraform Provider Checks” GitHub Actions workflow, which builds the provider, runs unit & acceptance tests, and reports pass/fail status in the PR status checks. https://github.com/microsoft/terraform-provider-power-platform/actions/workflows/terraform-provider-checks.yml


    バッジには不十分です。

    プロジェクトは、過去6ヶ月以内に修正されたバグの少なくとも50%について、自動テスト スイートに回帰テストを追加しなければなりません。 [regression_tests_added50]

    The project does not track fixes and their corresponding regression tests in a way that lets us demonstrate that at least half of the bugs resolved in the past six months received new or updated test coverage; therefore we cannot currently claim compliance with the 50 % regression-test threshold.


    バッジには十分です!

    プロジェクトは、選択された言語でこの基準を測定できる少なくとも1つのFLOSSツールがある場合、少なくとも80%のステートメントカバレッジを提供するFLOSS自動テストスイートを備えていなければなりません。 [test_statement_coverage80]
    gcov/lcov、Blanket.js、Istanbul、JCov、covr (R) など、多くのFLOSSツールが、テストカバレッジを測定できます。この基準を満たすことは、テスト スイートが徹底していることを保証するものではないですが、それよりも、この基準を満たさないことは、貧弱なテスト スイートであることを示す強い指標であることに注意してください。

    The CI workflow runs go test -covermode=count -coverprofile=coverage.out, uploads the report to Codecov, and the dashboard shows overall statement coverage above the 80 % threshold, satisfying the requirement. https://github.com/microsoft/terraform-provider-power-platform/actions/workflows/terraform-provider-checks.yml


  • 新機能テスト


    バッジには十分です!

    プロジェクトには、主要な新機能が追加されると、新しい機能のテストが自動化されたテスト スイートに追加されなければならないという正式な文書化されたポリシーがなければなりません。 [test_policy_mandated]

    https://github.com/microsoft/terraform-provider-power-platform/blob/main/CONTRIBUTING.md#pull-request-checklist


    バッジには十分です!

    プロジェクトは、変更提案のための文書化された手順に、重要な新機能用にテストを追加するという方針を含まなければなりません。 [tests_documented_added]
    しかし、実際にテストが追加されている限り、非公式の規則でも許容されます。

    The Pull Request Checklist in CONTRIBUTING.md requires contributors to “Add unit tests and acceptance tests for your contribution … Tests should pass and provide > 80 % coverage of your contribution,” thereby documenting the policy that tests must accompany major new functionality. https://github.com/microsoft/terraform-provider-power-platform/blob/main/CONTRIBUTING.md#pull-request-checklist


  • 警告フラグ


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアにある警告に、実際的な場合には、最大限に厳格にならなければなりません。 [warnings_strict]
    一部の警告は、あるプロジェクトでは効果的に有効にすることはできません。必要なのは、プロジェクトが可能な限り警告フラグを有効にするように努力しており、エラーが早期に検出されるという証拠です。

    The Makefile’s lint target—and the CI workflow that invokes it—runs golangci-lint run, which fails the build on any linter warning, enforcing strict static-analysis and vet checks on every commit. https://github.com/microsoft/terraform-provider-power-platform/blob/main/makefile


 セキュリティ 11/13

  • セキュリティに関する開発知識


    バッジには十分です!

    適用できる場合、プロジェクトはセキュア設計原則(「know_secure_design」から)を実装しなければなりません。プロジェクトでソフトウェアが作成されていない場合は、「該当なし」(N / A)を選択します。 [implement_secure_design]
    たとえば、プロジェクトの結果は、フェール セーフのデフォルト値を持つべきです(デフォルトではアクセスの決定は拒否されるべきで、プロジェクトのインストールはデフォルトでセキュリティ保護されているべきです)。また、完全なメディエーションであるべきです(制限されているすべてのアクセスは、権限がチェックされバイパス不可能でなければなりません)。原則が矛盾する場合があります。その場合、選択が必要です(たとえば、多くの仕組みは、「機構の節約」に反して複雑にすることも、単純にすることもできます)。

    The project documents and enforces secure-by-design practices—least privilege OAuth scopes, fail-closed error handling, TLS-only transport, and full mediation of API calls—in its contributor security guidelines, which all new code must follow. https://github.com/microsoft/terraform-provider-power-platform/blob/main/devdocs/security_guidelines.md


  • 優良な暗号手法を使用する

    一部のソフトウェアは暗号化メカニズムを使用する必要がないことに注意してください。あなたのプロジェクトが作成するソフトウェアが、(1) 暗号化機能を含む、アクティブ化する、または有効化し、(2) 米国(US)から米国外または米国市民以外にリリースされる可能性がある場合は、法的に義務付けられた追加手順の実行を要求される可能性があります。通常、これにはメールの送信が含まれます。詳細については、 Understanding Open Source Technology & US Export Controls「オープンソース技術と米国の輸出管理について」)の暗号化のセクションを参照してください。

    バッジには十分です!

    プロジェクトによって作成されたソフトウェア内のデフォルトのセキュリティ メカニズムは、既知の重大な脆弱性を持つ暗号アルゴリズムやモード(たとえば、SHA-1暗号ハッシュ アルゴリズムまたはSSHのCBC モード)に依存してはいけません。 [crypto_weaknesses]
    SSHのCBCモードに関する懸念事項は、 CERT: SSH CBC 脆弱性にて議論されています。.

    All cryptographic operations rely on the Go standard-library TLS stack (TLS 1.2+ with AES-GCM) and Microsoft Entra ID tokens signed with SHA-256; the only hash used directly in the code is SHA-256 (crypto/sha256) in internal/helpers/hash.go. No component depends on SHA-1, MD5, CBC-mode SSH, or other algorithms with known serious weaknesses. https://github.com/microsoft/terraform-provider-power-platform/blob/main/internal/helpers/hash.go


    バッジには十分です!

    プロジェクトは複数の暗号アルゴリズムをサポートするべきですので、ユーザーは破られた場合に素早く切り替えることができます。一般的な対称鍵アルゴリズムには、AES、Twofish、およびSerpentがあります。一般的な暗号化ハッシュ アルゴリズムには、SHA-2(SHA-224、SHA-256、SHA-384およびSHA-512を含む)およびSHA-3があります。 [crypto_algorithm_agility]

    The provider defers all cryptographic operations to the Go standard‐library TLS stack, which automatically negotiates among multiple modern cipher suites (e.g., AES-GCM and ChaCha20-Poly1305 with SHA-256/384) during every HTTPS connection. Because at least two strong symmetric ciphers and hash families are available and selected at runtime, users gain algorithm agility without changes to the code. https://pkg.go.dev/crypto/tls#pkg-constants


    バッジには十分です!

    プロジェクトは、他の情報(構成ファイル、データベース、ログなど)とは別にしたファイルに、認証資格情報(パスワードやダイナミックトークンなど)やプライベート暗号鍵を格納することをサポートしなければなりませんし、ユーザーがコードの再コンパイルなしにそれらを更新や置き換えできるように許可しなければなりません。プロジェクトが認証資格情報とプライベート暗号化鍵を決して処理しない場合は、「該当なし」(N/A)を選択します。 [crypto_credential_agility]

    The provider accepts all authentication material—client IDs, secrets, certificates, OIDC tokens—via environment variables or dedicated Terraform variables, entirely separate from the main configuration files; users can rotate or replace these credentials at any time without rebuilding the provider. https://registry.terraform.io/providers/microsoft/power-platform/latest/docs#authentication-options


    バッジには十分です!

    プロジェクトで作成されたソフトウェアは、ネットワーク通信すべてに対して、SSHv2以降、TLS1.2以降 (HTTPS)、IPsec、SFTP、SNMPv3などのセキュア プロトコルをサポートするべきです。FTP、HTTP、telnet、SSLv3以前、およびSSHv1などのセキュアでないプロトコルは、デフォルトで無効にし、ユーザーが特別に設定した場合のみ有効にするべきです。プロジェクトによって作成されたソフトウェアがネットワーク通信をサポートしない場合は、「該当なし」(N/A)を選択します。 [crypto_used_network]

    All network traffic is made over Microsoft Power Platform REST endpoints, which are HTTPS-only (TLS 1.2+); the provider exposes no option to use plain HTTP or other insecure protocols. https://registry.terraform.io/providers/microsoft/power-platform/latest/docs#authenticating-to-power-platform


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアは、TLSをサポートあるいは使用する場合、少なくともTLSバージョン1.2をサポートするべきです。TLSの前身は、SSLと呼ばれていたことに注意して下さい。ソフトウェアがTLSを使用ない場合、「該当なし」(N/A)を選択します。 [crypto_tls12]

    Every API call is made over HTTPS endpoints that require TLS 1.2 or later; no HTTP fallback is available. https://registry.terraform.io/providers/microsoft/power-platform/latest/docs#authentication-options


    バッジには十分です!

    TLSをサポートしている場合、プロジェクトで作成されたソフトウェアは、TLSを使う時には、サブリソースを含めて、デフォルトでTLS認証を受けなければなりません。ソフトウェアがTLSを使用しない場合、「該当なし」(N/A)を選択します。 [crypto_certificate_verification]
    誤ったTLS認証の検証は、よくある間違いであることに注意して下さい。詳細については、「世界でもっとも危険なコード:非ブラウザー ソフトウェアでのSSL認証の検証」Martin Georgiev et al著「このアプリケーションを信頼しますか?」Michael Catanzaro著.を参照して下さい。

    The provider relies on Go’s default net/http client—which performs full X.509 certificate validation—and communicates only with HTTPS endpoints, so TLS certificate verification is always enabled by default. https://pkg.go.dev/net/http#Client


    バッジには十分です!

    TLSをサポートしている場合、プロジェクトによって作成されたソフトウェアは、(たとえばセキュアクッキーなど)プライベートな情報をHTTPヘッダと共に送信する前に、証明書の検証をしなければなりません。ソフトウェアがTLSを使用しない場合は、「該当なし」(N/A)を選択します。 [crypto_verification_private]

    Using Go’s standard net/http client, the provider completes the TLS handshake (including certificate verification) before it writes any HTTP request—so Authorization headers and other private data are only sent after the certificate is validated. https://pkg.go.dev/net/http#Transport


  • 公開物の安全性


    バッジには十分です!

    プロジェクトは、広く普及することを意図しているプロジェクト結果のリリースには暗号で署名しなければなりませんし、パブリック署名鍵を入手して署名を検証する方法をユーザに説明するプロセスがなければなりません。これらの署名の秘密鍵は、ソフトウェアを一般に直接配布するために使用されるサイトにあってはなりません。リリースが広く普及することを意図していない場合は、「該当なし」(N/A)を選択します。 [signed_releases]
    プロジェクトの結果には、ソースコードと生成された成果物(実行可能ファイル、パッケージ、コンテナなど)が含まれます。生成された成果物は、ソースコードとは別に署名することができます。これらは、(暗号デジタル署名を使用して)署名付きgitタグとして実装できます。プロジェクトはgitのようなツールとは別に生成された結果を提供するかもしれませんが、そのような場合、別々の結果を別々に署名しなければなりません。

    Releases are signed by GoReleaser’s signs block, which detaches a GPG signature over the SHA-256 checksums file using the maintainer’s key (GPG_FINGERPRINT env var); each GitHub release publishes both the *_SHA256SUMS file and its .sig, and the repository’s release instructions explain how to import the public key and verify the signature. https://github.com/microsoft/terraform-provider-power-platform/blob/main/.goreleaser.yml#L40-L55


    かろうじてバッジには十分です。

    バージョン管理システムでは、 signed_releases で説明されているように、重要なバージョンタグ(メジャーリリース、マイナーリリース、または公開されている脆弱性の一部であるタグ)を暗号署名して検証することが推奨されています。 [version_tags_signed]

    Release commits are GPG-signed, but the Git tags themselves are unsigned (the tag pages show no “Verified” badge), so important version tags are not cryptographically verifiable. https://github.com/microsoft/terraform-provider-power-platform/releases/tag/v3.3.0


  • その他のセキュリティ上の課題


    バッジには不十分です。

    プロジェクトの結果は、潜在的に信頼できないソースからのすべての入力をチェックして有効であること(*allowlist*)を確認し、データに何らかの制限がある場合は無効な入力を拒否しなければなりません。 [input_validation]
    攻撃者はしばしばブラックリストを回避することができるので、入力を "不正な形式" のリスト(別名*denylist*)と比較するのは、通常十分ではないことに注意してください。特に、数値は内部形式に変換され、最小値と最大値の間であるかがチェックされますし、文字列は、有効なテキストパターン(有効なUTF-8、長さ、構文など)であることを確認するためにチェックされます。一部のデータは「何でもよい」(たとえばファイル アップローダー)ことがありますが、通常はまれです。

    The provider relies on Terraform’s schema typing for basic type-safety, and some attributes include explicit ValidateFunc rules, but a systematic allow-list validation is not applied to every user-supplied string, number, or collection. Several resource fields (for example display_name, description, and JSON policy blobs) accept free-form text with no length, character-set, or pattern checks, so malformed or out-of-range values could still propagate to API calls. Because comprehensive input whitelisting is absent, the project does not yet satisfy the input_validation requirement.


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアで強化メカニズムを使用するべきですので、ソフトウェア欠陥がセキュリティ上の脆弱性を引き起こす可能性が低くなります。 [hardening]
    強化メカニズムは、Content Security Policy(CSP)などのHTTPヘッダー、攻撃を緩和するコンパイラ フラグ(-fstack-protectorなど)、または未定義の動作を排除するためのコンパイラ フラグを含みます。私たちの目的のために、最低限の特権は強化メカニズムとはみなされません(最低の特権は重要ですが、別の話です)。

    Release binaries are built with Go 1.22 using the flags -trimpath (strips source-path leakage) and CGO_ENABLED=0, which yields position-independent, RELRO-protected, statically linked PIE executables compiled by a memory-safe language. These defaults give stack canaries, ASLR, RELRO, and NX by design—hardening the binary even without extra C flags. https://github.com/microsoft/terraform-provider-power-platform/blob/main/.goreleaser.yml#L12-L19


    バッジには不十分です。

    プロジェクトは、そのセキュリティ要件が満たされていることを証明する保証ケースを提供しなければならない。保証ケースには、脅威モデルの説明、信頼境界の明確な識別、セキュアな設計原則が適用されていることの議論、共通の実装セキュリティの弱点が対処されたことの議論が含まれなければならない。 (URLが必要です) [assurance_case]
    保証ケースは、「システムのプロパティに関する特定の一連の重大なクレームが、特定の環境とアプリケーションに対して適切に正当化されていることを説得力のある正当な議論で示す証拠」である(「構造化された保証ケースモデルを使用したソフトウェア保証」、Thomas Rhodes他、NIST Interagency Report 7608 )。信頼境界は、データまたは実行がその信頼レベル、例えば、典型的なウェブアプリケーションにおけるサーバの境界、を変更する境界である。安全な設計原則(SaltzerやSchroeerなど)と一般的な実装セキュリティの弱点(OWASPトップ10やCWE / SANSトップ25など)をリストし、それぞれがどのように対抗しているかを示すのは一般的です。 BadgeAppの保証ケースは良い参考例になるかもしれません。これは、documentation_security、documentation_architecture、およびimplement_secure_designに関連しています。

    Will be fixed. Track progress here https://github.com/microsoft/terraform-provider-power-platform/issues/738


 分析 2/2

  • 静的コード解析


    バッジには十分です!

    プロジェクトは、選択された言語でこの基準を実装できる少なくとも1つのFLOSSツールがある場合、解析された言語または環境で共通の脆弱性を探すためのルールまたはアプローチを備えた少なくとも1つの静的解析ツールを使用しなければならなりません。 [static_analysis_common_vulnerabilities]
    一般的な脆弱性を探すために特別に設計された静的解析ツールは、それらを見つける可能性が高いです。つまり、静的ツールを使用すると、通常は問題を見つけるのに役立ちますので、利用を提案しますが、「合格」レベルのバッジには要求しません。

    Every push and pull-request triggers the CodeQL workflow in GitHub Actions, which runs CodeQL’s Go security queries to detect common vulnerabilities such as SQL injection, command execution, and unsafe deserialization. Thus the project applies a FLOSS static-analysis tool focused on vulnerability discovery. https://github.com/microsoft/terraform-provider-power-platform/actions/workflows/codeql.yml


  • 動的コード分析


    バッジには十分です!

    もしプロジェクトで作成されたソフトウェアにメモリ安全でない言語(CやC ++など)を使用して作成されたソフトウェアが含まれているならば、そのときには 少なくとも1つの動的ツール(たとえば、ファジーまたはウェブ アプリケーション スキャナ)を、バッファの上書きなどのメモリの安全性の問題を検出するメカニズムと一緒にいつも使用します。プロジェクトがメモリ安全でない言語で書かれたソフトウェアを作成しない場合は、「該当なし」(N/A)を選択します。 [dynamic_analysis_unsafe]
    メモリの安全性の問題を検出するメカニズムの例としては、アドレスサニタイザー(ASAN)(GCCおよびLLVMで利用可能)、 Memory Sanitizer 、および valgrind が含まれます。他に使用される可能性のあるツールには、スレッドサニタイザ定義されていない動作サニタイザを参照してください。広範なアサーションも機能します。

    The entire codebase is written in Go with CGO_ENABLED=0, so no memory-unsafe C or C++ code is compiled; therefore dynamic memory-safety tools are not applicable. https://github.com/microsoft/terraform-provider-power-platform/blob/main/go.mod



This data is available under the Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0). This means that a Data Recipient may share the Data, with or without modifications, so long as the Data Recipient makes available the text of this agreement with the shared Data. Please credit Matt Dotson and the OpenSSF Best Practices badge contributors.

プロジェクト バッジ登録の所有者: Matt Dotson.
エントリの作成日時 2024-03-26 23:43:05 UTC、 最終更新日 2025-04-26 07:54:20 UTC 最後に2024-03-27 04:40:06 UTCにバッジ合格を達成しました。

もどる