bitmath

Projetos que seguem as melhores práticas abaixo podem se autocertificar voluntariamente e mostrar que alcançaram um selo de melhores práticas da Open Source Security Foundation (OpenSSF).

Não existe um conjunto de práticas que possa garantir que o software nunca terá defeitos ou vulnerabilidades; mesmo métodos formais podem falhar se as especificações ou suposições estiverem erradas. Nem existe qualquer conjunto de práticas que possa garantir que um projeto sustentará uma comunidade de desenvolvimento saudável e bem-funcionada. No entanto, seguir as melhores práticas pode ajudar a melhorar os resultados dos projetos. Por exemplo, algumas práticas permitem revisão multipessoal antes do lançamento, o que pode ajudar a encontrar vulnerabilidades técnicas difíceis de encontrar e ajudar a construir confiança e desejo de interação repetida entre desenvolvedores de diferentes empresas. Para ganhar um selo, todos os critérios DEVE e NÃO DEVE devem ser atendidos, todos os critérios DEVERIA devem ser atendidos OU não atendidos com justificativa, e todos os critérios SUGERIDO devem ser atendidos OU não atendidos (queremos que sejam considerados pelo menos). Se você quiser inserir texto de justificativa como um comentário genérico, em vez de ser uma justificativa de que a situação é aceitável, inicie o bloco de texto com '//' seguido de um espaço. Feedback é bem-vindo via site do GitHub como questões ou pull requests Há também uma lista de discussão para discussão geral.

Fornecemos com prazer as informações em vários idiomas, no entanto, se houver qualquer conflito ou inconsistência entre as traduções, a versão em inglês é a versão autoritativa.
Se este é o seu projeto, por favor mostre o status do seu selo básico na página do seu projeto! O status do selo básico se parece com isto: O nível do selo básico para o projeto 12749 é baseline-2 Aqui está como incorporar o selo básico:
Você pode mostrar o status do seu selo básico incorporando isto no seu arquivo markdown:
[![OpenSSF Baseline](https://www.bestpractices.dev/projects/12749/baseline)](https://www.bestpractices.dev/projects/12749)
ou incorporando isto no seu HTML:
<a href="https://www.bestpractices.dev/projects/12749"><img src="https://www.bestpractices.dev/projects/12749/baseline"></a>


Estes são os critérios de Nível Básico 2. Estes critérios são da versão de referência v2025.10.10 com texto de critérios atualizado da versão v2026.02.19. Os critérios novos na versão v2026.02.19 são rotulados como "futuros" e começarão a ser aplicados a partir de 2026-06-01. Por favor, forneça respostas para os critérios "futuros" antes dessa data.

Baseline Series: Nível Básico 1 Nível Básico 2 Nível Básico 3

        

 Fundamentos

  • Geral

    Observe que outros projetos podem usar o mesmo nome.

    Python module to work with file sizes like numbers - convert, compare, sort, and format across any prefix unit

    Use o formato de expressão de licença SPDX; exemplos incluem "Apache-2.0", "BSD-2-Clause", "BSD-3-Clause", "GPL-2.0+", "LGPL-3.0+", "MIT" e "(BSD-2-Clause OR Ruby)". Não inclua aspas simples ou aspas duplas.
    Se houver mais de uma linguagem, liste-as como valores separados por vírgula (espaços opcionais) e ordene-as da mais usada para a menos usada. Se houver uma longa lista, liste pelo menos as três primeiras mais comuns. Se não houver linguagem (por exemplo, este é um projeto apenas de documentação ou apenas de teste), use o caractere único "-". Use uma capitalização convencional para cada linguagem, por exemplo, "JavaScript".
    O Common Platform Enumeration (CPE) é um esquema de nomenclatura estruturado para sistemas de tecnologia da informação, software e pacotes. Ele é usado em vários sistemas e bancos de dados ao relatar vulnerabilidades.

 Controles 19/19

  • Controles


    Suficiente para um badge!

    Quando uma tarefa de CI/CD é executada sem permissões especificadas, o sistema de CI/CD DEVE definir como padrão as permissões da tarefa para as menores permissões concedidas no pipeline. [OSPS-AC-04.01]
    Configure as definições do projeto para atribuir as menores permissões disponíveis a novos pipelines por padrão, concedendo permissões adicionais somente quando necessário para tarefas específicas.

    Every workflow in .github/workflows/ declares permissions: read-all at the top level, so any task without an explicit permission block runs read-only. Elevated permissions (security-events: write, id-token: write) are scoped to specific jobs only where required. Verifiable at https://github.com/timlnx/bitmath/tree/master/.github/workflows


    Suficiente para um badge!

    Quando um lançamento oficial é criado, esse lançamento DEVE receber um identificador de versão único. [OSPS-BR-02.01]
    Atribua um identificador de versão único a cada versão de lançamento produzida pelo projeto, seguindo uma convenção de nomenclatura ou esquema de numeração consistente. Exemplos incluem SemVer, CalVer ou id de commit git.

    Releases follow Semantic Versioning. The single source of truth is the VERSION file (https://github.com/timlnx/bitmath/blob/master/VERSION), which pyproject.toml reads dynamically via [tool.hatch.version]. Each release is tagged in git and published to PyPI under its SemVer identifier: https://github.com/timlnx/bitmath/releases


    Suficiente para um badge!

    Quando um lançamento oficial é criado, esse lançamento DEVE conter um registro descritivo de modificações funcionais e de segurança. [OSPS-BR-04.01]
    Certifique-se de que todos os lançamentos incluam um registro de alterações descritivo. É recomendado garantir que o registro de alterações seja legível por humanos e inclua detalhes além das mensagens de commit, como descrições do impacto de segurança ou relevância para diferentes casos de uso. Para garantir a legibilidade por máquina, coloque o conteúdo sob um cabeçalho markdown como \"## Changelog\"."

    Every release has a corresponding section in NEWS.rst (https://github.com/timlnx/bitmath/blob/master/NEWS.rst) describing functional changes, breaking changes, and security-relevant modifications in human-readable prose well beyond commit-message granularity. The same content is also published to GitHub Releases: https://github.com/timlnx/bitmath/releases


    Suficiente para um badge!

    Quando um pipeline de compilação e lançamento ingere dependências, ele DEVE usar ferramentas padronizadas quando disponíveis. [OSPS-BR-05.01]
    Use ferramentas comuns para o seu ecossistema, como gerenciadores de pacotes ou ferramentas de gerenciamento de dependências para ingerir dependências no momento da compilação. Isso pode incluir o uso de um arquivo de dependências, arquivo de bloqueio ou manifesto para especificar as dependências necessárias, que são então incorporadas pelo sistema de compilação.

    Dependencies are managed through the standard Python packaging stack: pyproject.toml declares build and project metadata per PEP 517/518/621 (https://github.com/timlnx/bitmath/blob/master/pyproject.toml), Hatchling is the build backend, and requirements.txt (https://github.com/timlnx/bitmath/blob/master/requirements.txt) pins the development dependency set. Runtime dependencies are intentionally zero.


    Suficiente para um badge!

    Quando um lançamento oficial é criado, esse lançamento DEVE ser assinado ou contabilizado em um manifesto assinado incluindo os hashes criptográficos de cada ativo. [OSPS-BR-06.01]
    Assine todos os ativos de software lançados no momento da construção com uma assinatura criptográfica ou atestados, como assinatura GPG ou PGP, assinaturas Sigstore, proveniência SLSA ou VSAs SLSA. Inclua os hashes criptográficos de cada ativo em um manifesto assinado ou arquivo de metadados.

    Releases are published to PyPI via PyPI Trusted Publishing (OIDC), which produces sigstore-backed PEP 740 attestations attached to every artifact. PyPI also publishes a SHA-256 hash for each released file. The publish workflow is at https://github.com/timlnx/bitmath/blob/master/.github/workflows/publish.yml and trust-publisher metadata is visible on the PyPI project page: https://pypi.org/project/bitmath/


    Suficiente para um badge!

    Quando o projeto tiver feito um lançamento, a documentação do projeto DEVE incluir uma descrição de como o projeto seleciona, obtém e rastreia suas dependências. [OSPS-DO-06.01]
    É recomendado publicar essas informações juntamente com a documentação técnica e de design do projeto em um recurso publicamente visível, como o repositório de código-fonte, site do projeto ou outro canal.

    The "Components" section of the contributing guide (https://bitmath.readthedocs.io/en/latest/contributing.html#components) enumerates every development dependency with its purpose and rationale. The zero-runtime-dependency policy and the use of pyproject.toml + requirements.txt for tracking are documented in CLAUDE.md (https://github.com/timlnx/bitmath/blob/master/CLAUDE.md) and visible in pyproject.toml directly.


    Suficiente para um badge!

    (Critério futuro) A documentação do projeto DEVE incluir instruções sobre como compilar o software, incluindo bibliotecas, frameworks, SDKs e dependências necessários. [OSPS-DO-07.01]
    Recomenda-se publicar essas informações junto com a documentação de colaboradores do projeto, como em CONTRIBUTING.md ou outra documentação de tarefas de desenvolvimento. Isso também pode ser documentado usando alvos de Makefile ou outros scripts de automação.

    The contributing guide's "Makefile Targets" section (https://bitmath.readthedocs.io/en/latest/contributing.html#makefile-targets) documents make ci, make build, make docs, and make clean, including their behavior and when to use each. The README also includes a quick-start. The Makefile itself (https://github.com/timlnx/bitmath/blob/master/Makefile) is the authoritative build automation.


    Suficiente para um badge!

    Enquanto ativo, a documentação do projeto DEVE incluir uma lista de membros do projeto com acesso a recursos sensíveis. [OSPS-GV-01.01]
    Documente os participantes do projeto e seus papéis através de artefatos como members.md, governance.md, maintainers.md ou arquivo similar dentro do repositório de código-fonte do projeto. Isso pode ser tão simples quanto incluir nomes ou identificadores de conta em uma lista de mantenedores, ou mais complexo dependendo da governança do projeto.

    MAINTAINERS.md (https://github.com/timlnx/bitmath/blob/master/MAINTAINERS.md) lists the current maintainer (Tim Case / @timlnx) and explicitly enumerates every sensitive resource that person has access to: the GitHub repository (admin), the PyPI project (via OIDC), the Read The Docs project, and the security-reporting email address.


    Suficiente para um badge!

    Enquanto ativo, a documentação do projeto DEVE incluir descrições dos papéis e responsabilidades dos membros do projeto. [OSPS-GV-01.02]
    Documente os participantes do projeto e seus papéis através de artefatos como members.md, governance.md, maintainers.md ou arquivo similar dentro do repositório de código-fonte do projeto.

    MAINTAINERS.md (https://github.com/timlnx/bitmath/blob/master/MAINTAINERS.md) describes the maintainer role, responsibilities (PR review, releases, security triage, Code of Conduct enforcement, dependency surface oversight), the decision-making process, and a standing open request for a Debian/Ubuntu co-maintainer (tracked in https://github.com/timlnx/bitmath/issues/117).


    Suficiente para um badge!

    Enquanto ativo, a documentação do projeto DEVE incluir um guia para contribuidores de código que inclui requisitos para contribuições aceitáveis. [OSPS-GV-03.02]
    Estenda o conteúdo de CONTRIBUTING.md ou CONTRIBUTING/ na documentação do projeto para delinear os requisitos para contribuições aceitáveis, incluindo padrões de codificação, requisitos de testes e diretrizes de submissão para contribuidores de código. É recomendado que este guia seja a fonte da verdade tanto para contribuidores quanto para aprovadores.

    The contributing guide (https://bitmath.readthedocs.io/en/latest/contributing.html) documents the requirements for acceptable contributions including: code style (pycodestyle PEP 8 + pylint 10.00/10 target), commit message conventions, the pull request workflow with required CI status checks, testing expectations (unit tests for new functionality), the supported Python version policy, and the Makefile targets contributors should run locally before submitting.


    Suficiente para um badge!

    Enquanto ativo, o sistema de controle de versão DEVE exigir que todos os contribuidores de código afirmem que estão legalmente autorizados a fazer as contribuições associadas em cada commit. [OSPS-LE-01.01]
    Inclua um DCO no repositório do projeto, exigindo que os contribuidores de código afirmem que estão legalmente autorizados a confirmar as contribuições associadas em cada commit. Use uma verificação de status para garantir que a afirmação seja feita. Um CLA também satisfaz este requisito. Alguns sistemas de controle de versão, como o GitHub, podem incluir isso nos termos de serviço da plataforma.

    bitmath is hosted on GitHub. Per the GitHub Terms of Service, §D.6 "Contributions Under Repository License," every contributor pushing to a public repository licenses their contribution under the repository's license by the act of pushing. The OSPS criterion text itself acknowledges: "Some version control systems, such as GitHub, may include this in the platform terms of service." This control is satisfied via that mechanism.


    Suficiente para um badge!

    Quando um commit é feito na branch primária, quaisquer verificações de status automatizadas para commits DEVEM passar ou ser manualmente ignoradas. [OSPS-QA-03.01]
    Configure o sistema de controle de versão do projeto para exigir que todas as verificações de status automatizadas passem ou exijam reconhecimento manual antes que um commit possa ser mesclado na branch primária. É recomendado que quaisquer verificações de status opcionais NÃO sejam configuradas como um requisito de aprovação ou reprovação que os aprovadores possam ser tentados a ignorar.

    Branch protection on master requires 17 status checks to pass before any commit can be merged: the full Python 3.9–3.13 × {macOS, Ubuntu, Windows} test matrix plus CodeQL and Bandit. enforce_admins: true so even the repo owner cannot bypass these checks.


    Suficiente para um badge!

    Antes de um commit ser aceito, os pipelines de CI/CD do projeto DEVEM executar pelo menos um conjunto de testes automatizados para garantir que as alterações atendam às expectativas. [OSPS-QA-06.01]
    Testes automatizados devem ser executados antes de cada mesclagem na branch primária. O conjunto de testes deve ser executado em um pipeline de CI/CD e os resultados devem ser visíveis a todos os contribuidores. O conjunto de testes deve ser executado em um ambiente consistente e deve ser executado de uma maneira que permita aos contribuidores executar os testes localmente. Exemplos de conjuntos de testes incluem testes unitários, testes de integração e testes de ponta a ponta.

    The .github/workflows/python.yml workflow (https://github.com/timlnx/bitmath/blob/master/.github/workflows/python.yml) runs the full pytest suite on every push and pull request, across Python 3.9, 3.10, 3.11, 3.12, and 3.13 on macOS, Ubuntu, and Windows. Test results are publicly visible on every PR, and the same tests can be run locally via make ci.


    Suficiente para um badge!

    Quando o projeto tiver feito um lançamento, a documentação do projeto DEVE incluir documentação de design demonstrando todas as ações e atores dentro do sistema. [OSPS-SA-01.01]
    Inclua designs na documentação do projeto que expliquem as ações e atores. Atores incluem qualquer subsistema ou entidade que possa influenciar outro segmento no sistema. Certifique-se de que isso seja atualizado para novos recursos ou mudanças que quebrem compatibilidade.

    ARCHITECTURE.md (https://github.com/timlnx/bitmath/blob/master/ARCHITECTURE.md) at the repository root documents the system as actors and actions across two scopes: the runtime library (user code → public API → class hierarchy → OS abstraction layer) and the build/release pipeline (PyPI flow plus the parallel Packit-driven Fedora/EPEL RPM flow). The Maintenance section establishes an update contract tied to public API, build pipeline, and trust boundary changes, with review at every minor release.


    Suficiente para um badge!

    Quando o projeto tiver feito um lançamento, a documentação do projeto DEVE incluir descrições de todas as interfaces de software externas dos ativos de software lançados. [OSPS-SA-02.01]
    Documente todas as interfaces de software (APIs) dos ativos de software lançados, explicando como os usuários podem interagir com o software e quais dados são esperados ou produzidos. Certifique-se de que isso seja atualizado para novos recursos ou mudanças que quebrem compatibilidade.

    Every public class, method, and module-level function in bitmath has reference documentation at https://bitmath.readthedocs.io/ covering inputs, outputs, exceptions, and usage examples. The documentation source is in docsite/source/ and is regenerated from the codebase on every release.


    Suficiente para um badge!

    Quando o projeto tiver feito um lançamento, o projeto DEVE realizar uma avaliação de segurança para compreender os problemas de segurança potenciais mais prováveis e impactantes que poderiam ocorrer dentro do software. [OSPS-SA-03.01]
    Realizar uma avaliação de segurança informa tanto os membros do projeto quanto os consumidores a jusante que o projeto compreende quais problemas poderiam surgir dentro do software. Compreender quais ameaças poderiam se concretizar ajuda o projeto a gerenciar e tratar riscos. Essa informação é útil para os consumidores a jusante demonstrarem a perspicácia e as práticas de segurança do projeto. Certifique-se de que isso seja atualizado para novos recursos ou mudanças disruptivas.

    SECURITY_ASSESSMENT.md (https://github.com/timlnx/bitmath/blob/master/SECURITY_ASSESSMENT.md) is a standing threat model that describes: what bitmath does and deliberately does not do (no network, no eval, no subprocess, zero runtime dependencies); the realistic attack surfaces ranked by concern (parse_string, filesystem helpers, query_device_capacity, the build/release pipeline); the mitigations in place for each; and the automated security tooling continuously assessing the project (Bandit, CodeQL, OSSF Scorecard, Dependabot, GitHub secret scanning). It is committed to revisit at every minor release.


    Suficiente para um badge!

    Enquanto ativo, a documentação do projeto DEVE incluir uma política para divulgação coordenada de vulnerabilidades (CVD), com um prazo claro para resposta. [OSPS-VM-01.01]
    Crie um arquivo SECURITY.md na raiz do diretório, descrevendo a política do projeto para divulgação coordenada de vulnerabilidades. Inclua um método para relatar vulnerabilidades. Estabeleça expectativas sobre como o projeto responderá e tratará problemas relatados.

    SECURITY.md (https://github.com/timlnx/bitmath/blob/master/SECURITY.md) documents the coordinated vulnerability disclosure process with explicit response timeframes: acknowledgement of receipt within 72 hours, initial triage assessment within 7 days, and coordinated disclosure synchronized with the patch release that contains the fix. Backup contact channels are provided in case the primary email path fails.


    Suficiente para um badge!

    Enquanto ativo, a documentação do projeto DEVE fornecer um meio para relato privado de vulnerabilidades diretamente aos contatos de segurança dentro do projeto. [OSPS-VM-03.01]
    Forneça um meio para que pesquisadores de segurança relatem vulnerabilidades privadamente ao projeto. Isso pode ser um endereço de e-mail dedicado, um formulário web, ferramentas especializadas do VCS, endereços de e-mail para contatos de segurança ou outros métodos.

    Two private reporting channels are available, both documented in SECURITY.md (https://github.com/timlnx/bitmath/blob/master/SECURITY.md): GitHub's native Private Vulnerability Reporting (enabled on the repository, accessible via the Security tab), and direct email to bitmath@lnx.cx. Bluesky and Instagram are listed as emergency backup channels if both primary methods fail.


    Suficiente para um badge!

    Enquanto ativo, a documentação do projeto DEVE publicar publicamente dados sobre vulnerabilidades descobertas. [OSPS-VM-04.01]
    Forneça informações sobre vulnerabilidades conhecidas em um canal público previsível, como uma entrada CVE, postagem em blog ou outro meio. Na medida do possível, essa informação deve incluir versão(ões) afetada(s), como um consumidor pode determinar se está vulnerável e instruções para mitigação ou remediação.

    The project publishes vulnerability information through GitHub Security Advisories (https://github.com/timlnx/bitmath/security/advisories) with CVE numbers when applicable, and through the relevant version's section in NEWS.rst. As of submission, zero vulnerabilities have been reported or confirmed against bitmath, so no advisories exist yet, but the publication channel is configured and operational.



Estes dados estão disponíveis sob o Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0). Isso significa que um Destinatário de Dados pode compartilhar os Dados, com ou sem modificações, desde que o Destinatário de Dados disponibilize o texto deste acordo com os Dados compartilhados. Por favor, dê crédito a Tim Case e aos contribuidores do selo de melhores práticas OpenSSF.

Entrada de selo do projeto de propriedade de: Tim Case.
Entrada criada em 2026-05-04 23:07:38 UTC, última atualização em 2026-05-24 07:07:48 UTC. Selo de aprovação alcançado pela última vez em 2026-05-24 04:07:11 UTC.