terraform-provider-power-platform

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

これがあなたのプロジェクトなら、あなたのプロジェクトページにあなたのバッジステータスを表示してください！バッジステータスは次のようになります。

バッジステータスの埋め込み方法は次のとおりです。

バッジステータスを表示するには、あなたのプロジェクトのマークダウンファイルに以下を埋め込みます

[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/8714/badge)](https://www.bestpractices.dev/projects/8714)

あるいは、以下をHTMLに埋め込みます
<a href="https://www.bestpractices.dev/projects/8714"><img src="https://www.bestpractices.dev/projects/8714/badge"></a>

これらは

レベルの基準です。

または

レベル基準を表示することもできます。

変更管理 1/1 ●

以前のバージョン

Criterion [maintenance_or_update]
適合

不適合

該当なし

?

プロジェクトは、最も頻繁に使用される古いバージョンの製品を維持するか、または新しいバージョンへのアップグレードを提供しなければなりません。アップグレード方法が困難な場合は、プロジェクトは、アップグレード方法（変更されたインターフェイスや、アップグレードに役立つ詳細な手順など）を記載しなければなりません。 ^{[maintenance_or_update]}

Provides upgrade path to new releases

分析 2/2 ●

静的コード解析

Criterion [static_analysis_common_vulnerabilities]
適合

不適合

該当なし

?

プロジェクトは、選択された言語でこの基準を実装できる少なくとも1つのFLOSSツールがある場合、解析された言語または環境で共通の脆弱性を探すためのルールまたはアプローチを備えた少なくとも1つの静的解析ツールを使用しなければならなりません。 ^{[static_analysis_common_vulnerabilities]}
一般的な脆弱性を探すために特別に設計された静的解析ツールは、それらを見つける可能性が高いです。つまり、静的ツールを使用すると、通常は問題を見つけるのに役立ちますので、利用を提案しますが、「合格」レベルのバッジには要求しません。

Every push and pull-request triggers the CodeQL workflow in GitHub Actions, which runs CodeQL’s Go security queries to detect common vulnerabilities such as SQL injection, command execution, and unsafe deserialization. Thus the project applies a FLOSS static-analysis tool focused on vulnerability discovery. https://github.com/microsoft/terraform-provider-power-platform/actions/workflows/codeql.yml

動的コード分析

Criterion [dynamic_analysis_unsafe]
適合

不適合

該当なし

?

もしプロジェクトで作成されたソフトウェアにメモリ安全でない言語（CやC ++など）を使用して作成されたソフトウェアが含まれているならば、そのときには 少なくとも1つの動的ツール（たとえば、ファジーまたはウェブアプリケーションスキャナ）を、バッファの上書きなどのメモリの安全性の問題を検出するメカニズムと一緒にいつも使用します。プロジェクトがメモリ安全でない言語で書かれたソフトウェアを作成しない場合は、「該当なし」（N/A）を選択します。 ^{[dynamic_analysis_unsafe]}
メモリの安全性の問題を検出するメカニズムの例としては、アドレスサニタイザー（ASAN）（GCCおよびLLVMで利用可能）、 Memory Sanitizer 、および valgrind が含まれます。他に使用される可能性のあるツールには、スレッドサニタイザと定義されていない動作サニタイザを参照してください。広範なアサーションも機能します。

The entire codebase is written in Go with CGO_ENABLED=0, so no memory-unsafe C or C++ code is compiled; therefore dynamic memory-safety tools are not applicable. https://github.com/microsoft/terraform-provider-power-platform/blob/main/go.mod

This data is available under the Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0). This means that a Data Recipient may share the Data, with or without modifications, so long as the Data Recipient makes available the text of this agreement with the shared Data. Please credit Matt Dotson and the OpenSSF Best Practices badge contributors.

プロジェクトバッジ登録の所有者： Matt Dotson.
エントリの作成日時 2024-03-26 23:43:05 UTC、 最終更新日 2025-04-26 07:54:20 UTC 最後に2024-03-27 04:40:06 UTCにバッジ合格を達成しました。

もどる

terraform-provider-power-platform

基本的情報 13/17 ●

識別情報

前提要件

基本的なプロジェクトウェブサイトのコンテンツ

プロジェクトの管理・運営

ドキュメンテーション

アクセシビリティと国際化

その他

変更管理 1/1 ●

以前のバージョン

報告 3/3 ●

バグ報告プロセス

脆弱性報告プロセス

品質 18/19 ●

コーディング標準

作業ビルドシステム

インストールシステム

外部で維持管理されるコンポーネント

自動テストスイート

新機能テスト

警告フラグ

セキュリティ 11/13 ●

セキュリティに関する開発知識

優良な暗号手法を使用する

公開物の安全性

その他のセキュリティ上の課題

分析 2/2 ●

静的コード解析

動的コード分析

terraform-provider-power-platform

基本的情報 13/17 ●

識別情報

前提要件

基本的なプロジェクト ウェブサイトのコンテンツ

プロジェクトの管理・運営

ドキュメンテーション

アクセシビリティと国際化

その他

変更管理 1/1 ●

以前のバージョン

報告 3/3 ●

バグ報告プロセス

脆弱性報告プロセス

品質 18/19 ●

コーディング標準

作業ビルドシステム

インストールシステム

外部で維持管理されるコンポーネント

自動テスト スイート

新機能テスト

警告フラグ

セキュリティ 11/13 ●

セキュリティに関する開発知識

優良な暗号手法を使用する

公開物の安全性

その他のセキュリティ上の課題

分析 2/2 ●

静的コード解析

動的コード分析

基本的なプロジェクトウェブサイトのコンテンツ

自動テストスイート