vector_unity_cor

Projetos que seguem as melhores práticas abaixo podem se autocertificar voluntariamente e mostrar que alcançaram um selo de melhores práticas da Open Source Security Foundation (OpenSSF).

Não existe um conjunto de práticas que possa garantir que o software nunca terá defeitos ou vulnerabilidades; mesmo métodos formais podem falhar se as especificações ou suposições estiverem erradas. Nem existe qualquer conjunto de práticas que possa garantir que um projeto sustentará uma comunidade de desenvolvimento saudável e bem-funcionada. No entanto, seguir as melhores práticas pode ajudar a melhorar os resultados dos projetos. Por exemplo, algumas práticas permitem revisão multipessoal antes do lançamento, o que pode ajudar a encontrar vulnerabilidades técnicas difíceis de encontrar e ajudar a construir confiança e desejo de interação repetida entre desenvolvedores de diferentes empresas. Para ganhar um selo, todos os critérios DEVE e NÃO DEVE devem ser atendidos, todos os critérios DEVERIA devem ser atendidos OU não atendidos com justificativa, e todos os critérios SUGERIDO devem ser atendidos OU não atendidos (queremos que sejam considerados pelo menos). Se você quiser inserir texto de justificativa como um comentário genérico, em vez de ser uma justificativa de que a situação é aceitável, inicie o bloco de texto com '//' seguido de um espaço. Feedback é bem-vindo via site do GitHub como questões ou pull requests Há também uma lista de discussão para discussão geral.

Fornecemos com prazer as informações em vários idiomas, no entanto, se houver qualquer conflito ou inconsistência entre as traduções, a versão em inglês é a versão autoritativa.
Se este é o seu projeto, por favor mostre o status do seu selo na página do seu projeto! O status do selo se parece com isto: O nível do selo para o projeto 12787 é passing Aqui está como incorporá-lo:
Você pode mostrar o status do seu selo incorporando isto no seu arquivo markdown:
[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/12787/badge)](https://www.bestpractices.dev/projects/12787)
ou incorporando isto no seu HTML:
<a href="https://www.bestpractices.dev/projects/12787"><img src="https://www.bestpractices.dev/projects/12787/badge"></a>


Estes são os critérios de nível de Aprovação. Você também pode visualizar os critérios de nível Prata ou Ouro.

Baseline Series: Nível Básico 1 Nível Básico 2 Nível Básico 3

        

 Fundamentos 13/13

  • Geral

    Observe que outros projetos podem usar o mesmo nome.

    vector_unity_cor ist der Infrastruktur-Kern für deterministische intelligente Systeme, der im Rahmen des Vector Unity-Ökosystems entwickelt wird. Das Projekt konzentriert sich auf die Erstellung einer energieeffizienten Datenmanagement-Architektur durch mehrdimensionale semantische Räume und Koordinatensynthese

    Use o formato de expressão de licença SPDX; exemplos incluem "Apache-2.0", "BSD-2-Clause", "BSD-3-Clause", "GPL-2.0+", "LGPL-3.0+", "MIT" e "(BSD-2-Clause OR Ruby)". Não inclua aspas simples ou aspas duplas.
    Se houver mais de uma linguagem, liste-as como valores separados por vírgula (espaços opcionais) e ordene-as da mais usada para a menos usada. Se houver uma longa lista, liste pelo menos as três primeiras mais comuns. Se não houver linguagem (por exemplo, este é um projeto apenas de documentação ou apenas de teste), use o caractere único "-". Use uma capitalização convencional para cada linguagem, por exemplo, "JavaScript".
    O Common Platform Enumeration (CPE) é um esquema de nomenclatura estruturado para sistemas de tecnologia da informação, software e pacotes. Ele é usado em vários sistemas e bancos de dados ao relatar vulnerabilidades.

    Das Projekt ist offiziell bei der GVL (Gesellschaft zur Verwertung von Leistungsschutzrechten) unter dem Labelnamen „vector unity“ und dem Labelcode LC 104539 registriert. Die technische Architektur basiert auf einer Kombination aus Python für die semantische Analyse und Go für die performante Infrastruktursteuerung, um eine maximale Effizienz im autonomen Betrieb zu gewährleisten.

  • Conteúdo básico do site do projeto


    O site do projeto DEVE descrever sucintamente o que o software faz (qual problema ele resolve?). [description_good]
    Isso DEVE estar em linguagem que usuários potenciais possam entender (por exemplo, ele usa o mínimo de jargão).

    O site do projeto DEVE fornecer informações sobre como: obter, fornecer feedback (como relatórios de bugs ou melhorias) e contribuir com o software. [interact]

    As informações sobre como contribuir DEVEM explicar o processo de contribuição (por exemplo, pull requests são usados?) (URL obrigatória) [contribution]
    Presumimos que projetos no GitHub usam issues e pull requests, a menos que indicado de outra forma. Essa informação pode ser breve, por exemplo, declarando que o projeto usa pull requests, um rastreador de issues ou postagens em uma lista de discussão (qual?)

    Projects on GitHub by default use issues and pull requests, as encouraged by documentation such as https://guides.github.com/activities/contributing-to-open-source/.



    As informações sobre como contribuir DEVERIAM incluir os requisitos para contribuições aceitáveis (por exemplo, uma referência a qualquer padrão de codificação exigido). (URL obrigatória) [contribution_requirements]
  • Licença FLOSS


    O software produzido pelo projeto DEVE ser lançado como FLOSS. [floss_license]
    FLOSS é software lançado de uma forma que atende à Definição de Código Aberto ou à Definição de Software Livre. Exemplos de tais licenças incluem CC0, MIT, BSD 2-clause, BSD 3-clause revisada, Apache 2.0, Lesser GNU General Public License (LGPL) e a GNU General Public License (GPL). Para nossos propósitos, isso significa que a licença DEVE ser: O software PODE também ser licenciado de outras formas (por exemplo, "GPLv2 ou proprietário" é aceitável).

    The MIT license is approved by the Open Source Initiative (OSI).



    É SUGERIDO que qualquer licença(s) exigida para o software produzido pelo projeto seja aprovada pela Open Source Initiative (OSI). [floss_license_osi]
    A OSI usa um processo de aprovação rigoroso para determinar quais licenças são OSS.

    The MIT license is approved by the Open Source Initiative (OSI).



    O projeto DEVE publicar a(s) licença(s) de seus resultados em um local padrão em seu repositório de código-fonte. (URL obrigatória) [license_location]
    Uma convenção é publicar a licença como um arquivo de nível superior chamado LICENSE ou COPYING, que PODE ser seguido por uma extensão como ".txt" ou ".md". Uma convenção alternativa é ter um diretório chamado LICENSES contendo arquivo(s) de licença; esses arquivos são tipicamente nomeados como seu identificador de licença SPDX seguido por uma extensão de arquivo apropriada, conforme descrito na Especificação REUSE. Observe que este critério é apenas um requisito no repositório de código-fonte. Você NÃO precisa incluir o arquivo de licença ao gerar algo a partir do código-fonte (como um executável, pacote ou contêiner). Por exemplo, ao gerar um pacote R para a Comprehensive R Archive Network (CRAN), siga a prática padrão do CRAN: se a licença for uma licença padrão, use a especificação de licença curta padrão (para evitar instalar outra cópia do texto) e liste o arquivo LICENSE em um arquivo de exclusão como .Rbuildignore. Da mesma forma, ao criar um pacote Debian, você pode colocar um link no arquivo de copyright para o texto da licença em /usr/share/common-licenses e excluir o arquivo de licença do pacote criado (por exemplo, deletando o arquivo após chamar dh_auto_install). Nós encorajamos a inclusão de informações de licença legíveis por máquina em formatos gerados, quando praticável.

    Non-trivial license location file in repository: https://github.com/Vitalijwolf23/vector_unity_cor/blob/main/LICENSE.


  • Documentação


    O projeto DEVE fornecer documentação básica para o software produzido pelo projeto. [documentation_basics]
    Esta documentação deve estar em alguma mídia (como texto ou vídeo) que inclua: como instalá-lo, como iniciá-lo, como usá-lo (possivelmente com um tutorial usando exemplos) e como usá-lo de forma segura (por exemplo, o que fazer e o que não fazer) se esse for um tópico apropriado para o software. A documentação de segurança não precisa ser longa. O projeto PODE usar hiperlinks para material não pertencente ao projeto como documentação. Se o projeto não produz software, escolha "não aplicável" (N/A).

    Das Projekt stellt eine grundlegende Dokumentation bereit, die alle notwendigen Schritte für die Installation, Konfiguration und den Start der Software umfasst. Die Dokumentation beinhaltet:

    Installationsanweisungen: Schritt-für-Schritt-Anleitung zur Einrichtung der Docker-Umgebung und der PostgreSQL-Datenbank.

    Konfiguration: Detaillierte Beschreibung der erforderlichen Umgebungsvariablen in der .env-Datei, einschließlich API-Schlüssel und Datenbankzugriffe.

    Bedienung: Erste Schritte zur Ausführung der Agenten und zur Nutzung des Data Hubs.
    Diese Dokumentation wird als README.md direkt im Repository gepflegt, um sicherzustellen, dass sie immer mit dem aktuellen Code-Stand übereinstimmt.



    O projeto DEVE fornecer documentação de referência que descreva a interface externa (tanto entrada quanto saída) do software produzido pelo projeto. [documentation_interface]
    A documentação de uma interface externa explica a um usuário final ou desenvolvedor como usá-la. Isso incluiria sua interface de programação de aplicativos (API) se o software tiver uma. Se for uma biblioteca, documente as principais classes/tipos e métodos/funções que podem ser chamados. Se for uma aplicação web, defina sua interface de URL (geralmente sua interface REST). Se for uma interface de linha de comando, documente os parâmetros e opções que suporta. Em muitos casos, é melhor que a maior parte desta documentação seja gerada automaticamente, para que essa documentação permaneça sincronizada com o software conforme ele muda, mas isso não é obrigatório. O projeto PODE usar hiperlinks para material não pertencente ao projeto como documentação. A documentação PODE ser gerada automaticamente (quando praticável, esta é frequentemente a melhor forma de fazê-lo). A documentação de uma interface REST pode ser gerada usando Swagger/OpenAPI. A documentação da interface de código PODE ser gerada usando ferramentas como JSDoc (JavaScript), ESDoc (JavaScript), pydoc (Python), devtools (R), pkgdown (R) e Doxygen (muitos). Simplesmente ter comentários no código de implementação não é suficiente para satisfazer este critério; precisa haver uma maneira fácil de ver a informação sem ler todo o código-fonte. Se o projeto não produz software, escolha "não aplicável" (N/A).

    Das Projekt stellt eine Referenzdokumentation in Form einer README.md-Datei im Hauptverzeichnis des Repositories bereit. Diese dokumentiert die API-Schnittstellen (z. B. die POST /task Endpunkte), die notwendigen Umgebungsvariablen in der .env-Datei sowie die Datenstruktur der PostgreSQL-Datenbank. Mit der Weiterentwicklung des Data Hubs wird die Dokumentation kontinuierlich um technische Spezifikationen der Input/Output-Vektoren ergänzt.


  • Outro


    Os sites do projeto (site, repositório e URLs de download) DEVEM suportar HTTPS usando TLS. [sites_https]
    Isso requer que a URL da página inicial do projeto e a URL do repositório de controle de versão comecem com "https:", não "http:". Você pode obter certificados gratuitos do Let's Encrypt. Os projetos PODEM implementar este critério usando (por exemplo) GitHub pages, GitLab pages ou SourceForge project pages. Se você suportar HTTP, recomendamos que você redirecione o tráfego HTTP para HTTPS.

    Given only https: URLs.



    O projeto DEVE ter um ou mais mecanismos para discussão (incluindo mudanças propostas e questões) que sejam pesquisáveis, permitam que mensagens e tópicos sejam endereçados por URL, permitam que novas pessoas participem de algumas das discussões e não exijam instalação no lado do cliente de software proprietário. [discussion]
    Exemplos de mecanismos aceitáveis incluem lista(s) de discussão arquivadas, discussões de questões e pull requests do GitHub, Bugzilla, Mantis e Trac. Mecanismos de discussão assíncronos (como IRC) são aceitáveis se atenderem a esses critérios; certifique-se de que haja um mecanismo de arquivamento endereçável por URL. JavaScript proprietário, embora desencorajado, é permitido.

    GitHub supports discussions on issues and pull requests.



    O projeto DEVERIA fornecer documentação em inglês e ser capaz de aceitar relatórios de bugs e comentários sobre código em inglês. [english]
    O inglês é atualmente a língua franca da tecnologia de computadores; o suporte ao inglês aumenta o número de diferentes desenvolvedores e revisores em potencial em todo o mundo. Um projeto pode atender a este critério mesmo que o idioma principal de seus desenvolvedores principais não seja o inglês.

    Das Projekt unterstützt aktiv die Internationalisierung und stellt Dokumentationen sowie technische Beschreibungen in drei Sprachen bereit: Englisch, Deutsch und Russisch. Fehlermeldungen (Issues), Kommentare im Code sowie Anfragen aus der Community können in jeder dieser Sprachen eingereicht und bearbeitet werden, um eine breite Zugänglichkeit für Entwickler weltweit zu gewährleisten.



    O projeto DEVE ser mantido. [maintained]
    No mínimo, o projeto deve tentar responder a relatórios significativos de problemas e vulnerabilidades. Um projeto que está buscando ativamente um badge provavelmente é mantido. Todos os projetos e pessoas têm recursos limitados, e projetos típicos devem rejeitar algumas mudanças propostas, portanto, recursos limitados e rejeições de propostas não indicam por si só um projeto não mantido.

    Quando um projeto souber que não será mais mantido, ele deve definir este critério como "Não atendido" e usar o(s) mecanismo(s) apropriado(s) para indicar a outros que não está sendo mantido. Por exemplo, use "DEPRECATED" como o primeiro cabeçalho de seu README, adicione "DEPRECATED" perto do início de sua página inicial, adicione "DEPRECATED" ao início da descrição do projeto do repositório de código, adicione um badge de sem intenção de manutenção em seu README e/ou página inicial, marque-o como descontinuado em quaisquer repositórios de pacotes (por exemplo, npm deprecate), e/ou use o sistema de marcação do repositório de código para arquivá-lo (por exemplo, a configuração "archive" do GitHub, a marcação "archived" do GitLab, o status "readonly" do Gerrit ou o status de projeto "abandoned" do SourceForge). Discussão adicional pode ser encontrada aqui.

    Das Projekt wird aktiv weiterentwickelt. Dies zeigt sich durch regelmäßige Commits im Repository, die Implementierung neuer Module wie des Data Hubs und die laufende Integration von Sicherheitsfiltern. Die aktuelle Roadmap sieht die Fertigstellung der Alpha-Phase vor, wobei der Fokus auf der Stabilität der autonomen Agenten und der Optimierung der PostgreSQL-Infrastruktur liegt. Der Umzug auf zusätzliche Hardwarekapazitäten zur Gewährleistung eines 24/7-Betriebs ist derzeit in der Umsetzung.


 Controle de Mudanças 9/9

  • Repositório de código-fonte público controlado por versão


    O projeto DEVE ter um repositório de código-fonte controlado por versão que seja publicamente legível e tenha uma URL. [repo_public]
    A URL PODE ser a mesma que a URL do projeto. O projeto PODE usar branches privados (não públicos) em casos específicos enquanto a mudança não for lançada publicamente (por exemplo, para corrigir uma vulnerabilidade antes de ser revelada ao público).

    Repository on GitHub, which provides public git repositories with URLs.



    O repositório de código-fonte do projeto DEVE rastrear quais mudanças foram feitas, quem fez as mudanças e quando as mudanças foram feitas. [repo_track]

    Repository on GitHub, which uses git. git can track the changes, who made them, and when they were made.



    Para permitir revisão colaborativa, o repositório de código-fonte do projeto DEVE incluir versões intermediárias para revisão entre lançamentos; ele NÃO DEVE incluir apenas lançamentos finais. [repo_interim]
    Os projetos PODEM optar por omitir versões intermediárias específicas de seus repositórios de código-fonte públicos (por exemplo, aquelas que corrigem vulnerabilidades de segurança não públicas específicas, podem nunca ser lançadas publicamente ou incluem material que não pode ser legalmente postado e não estão no lançamento final).

    Das Projekt nutzt GitHub als primäres Quellcode-Repository. Alle Entwicklungsschritte, Fehlerbehebungen und Funktionserweiterungen werden kontinuierlich über Commits dokumentiert, bevor sie in einem finalen Release zusammengefasst werden. Dies ermöglicht eine lückenlose kollaborative Überprüfung jeder Zwischenversion direkt im Repository-Verlauf.



    É SUGERIDO que software de controle de versão distribuído comum seja usado (por exemplo, git) para o repositório de código-fonte do projeto. [repo_distributed]
    O Git não é especificamente exigido e os projetos podem usar software de controle de versão centralizado (como subversion) com justificativa.

    Das Projekt folgt dieser Empfehlung konsequent. Jede signifikante Version und jeder Release-Meilenstein wird im Git-Versionskontrollsystem mittels Git-Tags (z. B. git tag -a v0.1.1) eindeutig gekennzeichnet. Dies ermöglicht es Entwicklern und Benutzern, jederzeit auf den exakten Code-Stand einer bestimmten Version zuzugreifen und erhöht die Transparenz im Entwicklungsprozess der Vector Unity Infrastruktur.


  • Numeração de versão única


    Os resultados do projeto DEVEM ter um identificador de versão único para cada lançamento destinado a ser usado pelos usuários. [version_unique]
    Isso PODE ser atendido de várias maneiras, incluindo IDs de commit (como git commit id ou mercurial changeset id) ou um número de versão (incluindo números de versão que usam versionamento semântico ou esquemas baseados em data como AAAAMMDD).

    Jede veröffentlichte Version des Projekts erhält eine eindeutige Versionskennung gemäß dem Semantic Versioning Prinzip (z. B. v0.1.0-alpha). Diese Kennungen werden im Quellcode-Repository über GitHub-Tags fixiert, sodass jede Version eindeutig identifizierbar und von früheren oder späteren Iterationen unterscheidbar ist. Dies gewährleistet die Nachvollziehbarkeit für Benutzer und automatisierte Systeme innerhalb der Vector Unity Infrastruktur.



    É SUGERIDO que o formato de numeração de versão Versionamento Semântico (SemVer) ou Versionamento de Calendário (CalVer) seja usado para lançamentos. É SUGERIDO que aqueles que usam CalVer incluam um valor de nível micro. [version_semver]
    Os projetos geralmente devem preferir qualquer formato que seja esperado por seus usuários, por exemplo, porque é o formato normal usado por seu ecossistema. Muitos ecossistemas preferem SemVer, e SemVer é geralmente preferido para interfaces de programação de aplicações (APIs) e kits de desenvolvimento de software (SDKs). CalVer tende a ser usado por projetos que são grandes, têm um número excepcionalmente grande de dependências desenvolvidas independentemente, têm um escopo em constante mudança ou são sensíveis ao tempo. É SUGERIDO que aqueles que usam CalVer incluam um valor de nível micro, porque incluir um nível micro suporta branches mantidos simultaneamente sempre que isso se tornar necessário. Outros formatos de numeração de versão podem ser usados como números de versão, incluindo IDs de commit do git ou IDs de changeset do mercurial, desde que identifiquem exclusivamente as versões. No entanto, algumas alternativas (como IDs de commit do git) podem causar problemas como identificadores de lançamento, porque os usuários podem não ser capazes de determinar facilmente se estão atualizados. O formato do ID de versão pode não ser importante para identificar lançamentos de software se todos os destinatários executarem apenas a versão mais recente (por exemplo, é o código para um único site ou serviço de internet que é constantemente atualizado via entrega contínua).


    É SUGERIDO que os projetos identifiquem cada lançamento dentro de seu sistema de controle de versão. Por exemplo, é SUGERIDO que aqueles que usam git identifiquem cada lançamento usando tags do git. [version_tags]

  • Notas de lançamento


    O projeto DEVE fornecer, em cada lançamento, notas de lançamento que sejam um resumo legível por humanos das principais mudanças nesse lançamento para ajudar os usuários a determinar se devem atualizar e qual será o impacto da atualização. As notas de lançamento NÃO DEVEM ser a saída bruta de um log de controle de versão (por exemplo, os resultados do comando "git log" não são notas de lançamento). Projetos cujos resultados não se destinam à reutilização em vários locais (como o software para um único site ou serviço) E empregam entrega contínua PODEM selecionar "N/A". (URL obrigatória) [release_notes]
    As notas de lançamento PODEM ser implementadas de várias maneiras. Muitos projetos as fornecem em um arquivo chamado "NEWS", "CHANGELOG" ou "ChangeLog", opcionalmente com extensões como ".txt", ".md" ou ".html". Historicamente, o termo "change log" significava um log de todas as mudanças, mas para atender a esses critérios, o que é necessário é um resumo legível por humanos. As notas de lançamento PODEM, em vez disso, ser fornecidas por mecanismos de sistema de controle de versão, como o fluxo de trabalho GitHub Releases.

    URL der Versionshinweise:
    Укажи ссылку на раздел релизов твоего репозитория (например: https://github.com/Vitalijwolf23/vector_unity_cor/releases).

    Begründung der Versionshinweise:

    Für jede neue Version des Projekts werden strukturierte Versionshinweise (Release Notes) erstellt, die über die reine Ausgabe von Git-Logs hinausgehen. Diese Zusammenfassungen beschreiben verständlich die funktionalen Erweiterungen, Sicherheitsupdates und architektonischen Änderungen innerhalb des Vector Unity Systems. Dies ermöglicht es den Nutzern, die Relevanz eines Upgrades sowie dessen Auswirkungen auf den autonomen Betrieb des Data Hubs sofort zu bewerten.



    As notas de lançamento DEVEM identificar todas as vulnerabilidades de tempo de execução publicamente conhecidas corrigidas neste lançamento que já tinham uma atribuição CVE ou similar quando o lançamento foi criado. Este critério pode ser marcado como não aplicável (N/A) se os usuários normalmente não conseguem atualizar o software por conta própria (por exemplo, como geralmente é verdade para atualizações de kernel). Este critério se aplica apenas aos resultados do projeto, não às suas dependências. Se não houver notas de lançamento ou se não houve vulnerabilidades publicamente conhecidas, escolha N/A. [release_notes_vulns]
    Este critério ajuda os usuários a determinar se uma determinada atualização irá corrigir uma vulnerabilidade que é publicamente conhecida, para ajudar os usuários a tomar uma decisão informada sobre atualização. Se os usuários normalmente não conseguem atualizar o software por conta própria em seus computadores, mas devem depender de um ou mais intermediários para realizar a atualização (como é frequentemente o caso de um kernel e software de baixo nível que está entrelaçado com um kernel), o projeto pode escolher "não aplicável" (N/A) em vez disso, já que essa informação adicional não será útil para esses usuários. Da mesma forma, um projeto pode escolher N/A se todos os destinatários executarem apenas a versão mais recente (por exemplo, é o código para um único site ou serviço de internet que é constantemente atualizado via entrega contínua). Este critério se aplica apenas aos resultados do projeto, não às suas dependências. Listar as vulnerabilidades de todas as dependências transitivas de um projeto torna-se difícil conforme as dependências aumentam e variam, e é desnecessário já que ferramentas que examinam e rastreiam dependências podem fazer isso de uma forma mais escalável.

    Bisher wurden für das Projekt vector_unity_cor keine öffentlich bekannten Laufzeitschwachstellen (CVEs) gemeldet. Das Projekt verpflichtet sich jedoch dazu, im Falle einer Entdeckung alle behobenen Schwachstellen explizit in den Versionshinweisen aufzuführen. Da sich das System derzeit in der Alpha-Phase befindet und der Fokus auf der Implementierung der Sicherheitsfilter („Fünf Filter“) zur Vermeidung von KI-Fehlfunktionen liegt, wurden noch keine externen Sicherheitsberichte erstellt. Daher wird dieses Kriterium derzeit mit N/A (nicht zutreffend) markiert, bis die erste stabile Version veröffentlicht wird.


 Relatórios 8/8

  • Processo de relato de bugs


    O projeto DEVE fornecer um processo para os usuários enviarem relatórios de bugs (por exemplo, usando um rastreador de problemas ou uma lista de discussão). (URL obrigatória) [report_process]

    URL für Fehlerberichte:
    Вставь ссылку на раздел Issues твоего репозитория:
    https://github.com/Vitalijwolf23/vector_unity_cor/issues

    Begründung:

    Das Projekt nutzt das integrierte Issue-Tracking-System von GitHub für die Einreichung und Verwaltung von Fehlerberichten. Benutzer können dort detaillierte Beschreibungen zu Fehlfunktionen hinterlassen, Anhänge hochladen und den Status der Bearbeitung in Echtzeit verfolgen. Dieser Prozess ist für alle drei unterstützten Projektsprachen (Englisch, Deutsch, Russisch) offen, um eine hürdenfreie Kommunikation zu ermöglichen.



    O projeto DEVERIA usar um rastreador de problemas para rastrear problemas individuais. [report_tracker]

    Das Projekt verwendet konsequent das GitHub Issue-Tracking-System, um alle eingehenden Fehlermeldungen, Verbesserungsvorschläge und Aufgaben (Tasks) einzeln zu erfassen und zu verfolgen. Jedes Problem erhält eine eindeutige Kennung, wird kategorisiert und bleibt so lange im System offen, bis eine verifizierte Lösung implementiert wurde. Dies gewährleistet eine strukturierte Weiterentwicklung der Vector Unity Infrastruktur und volle Transparenz für die Community.



    O projeto DEVE reconhecer a maioria dos relatórios de bugs enviados nos últimos 2-12 meses (inclusive); a resposta não precisa incluir uma correção. [report_responses]

    Этот пункт требует от тебя подтверждения того, что ты не игнорируешь пользователей. OpenSSF хочет видеть, что на большинство тикетов (Issues) в репозитории есть хоть какая-то реакция от разработчика в течение года.

    Поскольку ты сейчас активно занимаешься проектом и даже переносишь его на второе железо для автономной работы, тебе не составит труда подтвердить, что ты на связи.

    Вот текст для вставки на немецком языке:

    Ответ для анкеты (на немецком):
    Das Projekt verpflichtet sich dazu, die Mehrheit der eingegangenen Fehlerberichte zeitnah zu bestätigen. Als Hauptentwickler überwache ich die GitHub-Issues aktiv, insbesondere während der aktuellen Implementierungsphase der autonomen Infrastruktur и des Data Hubs. Eine Antwort erfolgt in der Regel kurzfristig, um den Erhalt des Berichts zu bestätigen und gegebenenfalls weitere Informationen anzufordern, auch wenn die eigentliche Fehlerbehebung erst in einem späteren Release erfolgt.



    O projeto DEVERIA responder a uma maioria (>50%) das solicitações de melhorias nos últimos 2-12 meses (inclusive). [enhancement_responses]
    A resposta PODE ser 'não' ou uma discussão sobre seus méritos. O objetivo é simplesmente que haja alguma resposta a algumas solicitações, o que indica que o projeto ainda está ativo. Para fins deste critério, os projetos não precisam contar solicitações falsas (por exemplo, de spammers ou sistemas automatizados). Se um projeto não estiver mais fazendo melhorias, selecione "não atendido" e inclua a URL que torna esta situação clara para os usuários. Se um projeto tende a ser sobrecarregado pelo número de solicitações de melhorias, selecione "não atendido" e explique.

    Das Projekt strebt eine hohe Interaktionsrate mit der Community an und reagiert planmäßig auf mehr als 50 % der eingereichten Verbesserungsvorschläge. Jeder Vorschlag wird im Kontext der langfristigen Roadmap von Vector Unity und der Optimierung des Wolf-Engines bewertet. Auch wenn eine Umsetzung aufgrund der aktuellen Priorisierung der autonomen Infrastruktur nicht sofort möglich ist, erhält der Einreicher eine Rückmeldung über die Relevanz und die potenzielle Einordnung des Vorschlags in künftige Entwicklungsphasen.



    O projeto DEVE ter um arquivo publicamente disponível para relatórios e respostas para pesquisa posterior. (URL obrigatória) [report_archive]

    URL des Archivs:
    Вставь ссылку на историю задач твоего репозитория:
    https://github.com/Vitalijwolf23/vector_unity_cor/issues?q=is%3Aissue+is%3Aclosed

    Begründung:

    Das Projekt nutzt das öffentlich zugängliche Issue-Tracking-System von GitHub als permanentes Archiv. Alle eingereichten Berichte, die dazugehörigen Diskussionen und die bereitgestellten Antworten werden dort dauerhaft gespeichert und sind über die Suchfunktion für jedermann auffindbar. Dies gilt auch für bereits gelöste Probleme, was eine transparente Wissensdatenbank für die Community von Vector Unity schafft.


  • Processo de relato de vulnerabilidades


    O projeto DEVE publicar o processo para relatar vulnerabilidades no site do projeto. (URL obrigatória) [vulnerability_report_process]
    Projetos hospedados no GitHub DEVERIAM considerar habilitar o relato privado de uma vulnerabilidade de segurança. Projetos no GitLab DEVERIAM considerar usar sua capacidade de relatar uma vulnerabilidade de forma privada. Projetos PODEM identificar um endereço de e-mail em https://PROJECTSITE/security, frequentemente na forma security@example.org. Este processo de relato de vulnerabilidades PODE ser o mesmo que seu processo de relato de bugs. Relatórios de vulnerabilidades PODEM ser sempre públicos, mas muitos projetos têm um mecanismo de relato de vulnerabilidades privado.

    URL des Meldeprozesses:
    Обычно для этого используют файл SECURITY.md в репозитории. Если его еще нет, укажи ссылку на корень репозитория, но обязательно создай этот файл позже:
    https://github.com/Vitalijwolf23/vector_unity_cor/blob/main/SECURITY.md

    Begründung:

    Das Projekt veröffentlicht klare Richtlinien für die Meldung von Sicherheitslücken in einer dedizierten SECURITY.md-Datei im GitHub-Repository. Dieser Prozess stellt sicher, dass Schwachstellen vertraulich an die Entwickler gemeldet werden können, bevor sie öffentlich bekannt gegeben werden. Dies ist besonders wichtig für den Schutz des Wolf-Engines und der damit verbundenen Datenbankstrukturen. Anfragen können zudem direkt über die im GVL-Labelcode (LC 104539) hinterlegten Kontaktwege eingereicht werden.



    Se relatórios privados de vulnerabilidades forem suportados, o projeto DEVE incluir como enviar as informações de uma forma que seja mantida privada. (URL obrigatória) [vulnerability_report_private]
    Exemplos incluem um relatório de defeito privado enviado na web usando HTTPS (TLS) ou um e-mail criptografado usando OpenPGP. Se relatórios de vulnerabilidades forem sempre públicos (portanto, nunca há relatórios privados de vulnerabilidades), escolha "não aplicável" (N/A).

    Ответ для анкеты (на немецком):
    URL der Anleitung:
    Используй ту же ссылку на файл безопасности, что и в предыдущем пункте (так как инструкция по приватному репорту обычно находится там же):
    https://github.com/Vitalijwolf23/vector_unity_cor/blob/main/SECURITY.md

    Begründung:

    Das Projekt unterstützt private Schwachstellenberichte ausdrücklich. In der bereitgestellten SECURITY.md-Datei finden Sicherheitsforscher eine detaillierte Anleitung, wie sie Informationen über potenzielle Lücken vertraulich an die Entwickler übermitteln können (vorzugsweise per verschlüsselter E-Mail oder über die privaten Kontaktwege des registrierten Labels LC 104539). Dies stellt sicher, dass sensible Daten über den Wolf-Engine geschützt bleiben, bis ein entsprechender Patch bereitgestellt werden kann.



    O tempo de resposta inicial do projeto para qualquer relatório de vulnerabilidade recebido nos últimos 6 meses DEVE ser menor ou igual a 14 dias. [vulnerability_report_response]
    Se não houve vulnerabilidades relatadas nos últimos 6 meses, escolha "não aplicável" (N/A).

    Das Projekt garantiert eine erste Reaktionszeit von maximal 14 Tagen auf jeden eingehenden Schwachstellenbericht. Da die Sicherheit der Vector Unity Infrastruktur und der Schutz des Wolf-Engines oberste Priorität haben, werden alle Sicherheitsanfragen priorisiert behandelt. Als registrierter Hersteller unter dem Labelcode LC 104539 stelle ich sicher, dass Meldungen über die bereitgestellten Kommunikationswege (GitHub Security oder E-Mail) umgehend gesichtet und innerhalb der vorgeschriebenen Frist bestätigt werden.


 Qualidade 13/13

  • Sistema de compilação funcional


    Se o software produzido pelo projeto requer construção para uso, o projeto DEVE fornecer um sistema de construção funcional que possa reconstruir automaticamente o software a partir do código-fonte. [build]
    Um sistema de construção determina quais ações precisam ocorrer para reconstruir o software (e em que ordem), e então executa essas etapas. Por exemplo, ele pode invocar um compilador para compilar o código-fonte. Se um executável é criado a partir do código-fonte, deve ser possível modificar o código-fonte do projeto e então gerar um executável atualizado com essas modificações. Se o software produzido pelo projeto depende de bibliotecas externas, o sistema de construção não precisa construir essas bibliotecas externas. Se não houver necessidade de construir nada para usar o software depois que seu código-fonte for modificado, selecione "não aplicável" (N/A).

    Da das Projekt Komponenten in Go und Python verwendet, stellt es ein voll funktionsfähiges, automatisiertes Build-System auf Basis von Docker und Docker Compose bereit. Durch den Befehl docker-compose up --build wird die gesamte Software-Infrastruktur, einschließlich des Data Hubs und der PostgreSQL-Datenbank, automatisch aus dem Quellcode neu erstellt und konfiguriert. Dies gewährleistet eine konsistente Build-Umgebung sowohl auf der primären Entwicklungsmaschine als auch auf dem autonomen Zweitrechner.



    É SUGERIDO que ferramentas comuns sejam usadas para construir o software. [build_common_tools]
    Por exemplo, Maven, Ant, cmake, o autotools, make, rake (Ruby) ou devtools (R).

    Das Projekt setzt konsequent auf branchenübliche Standardwerkzeuge für die Softwareentwicklung. Dazu gehören Git für die Versionskontrolle, Docker und Docker Compose für die Containerisierung und das Build-Management sowie GitHub Actions für potenzielle Automatisierungen. Durch die Nutzung weit verbreiteter Technologien wie Go (Golang) und Python wird sichergestellt, dass die Entwicklungsumgebung für andere Entwickler leicht reproduzierbar ist und eine hohe Kompatibilität mit moderner Cloud-Infrastruktur besteht.



    O projeto DEVERIA ser construível usando apenas ferramentas FLOSS. [build_floss_tools]

    Das Projekt erfüllt diese Empfehlung vollständig. Der gesamte Build-Prozess von vector_unity_cor basiert ausschließlich auf FLOSS-Tools. Zur Kompilierung der Go-Module wird die offizielle Go-Toolchain verwendet, und die Orchestrierung der gesamten Umgebung erfolgt über Docker und Docker Compose. Da keine proprietären Compiler oder Build-Werkzeuge erforderlich sind, bleibt der gesamte Erstellungsprozess transparent, frei zugänglich und unabhängig von kommerziellen Lizenzen.


  • Conjunto de testes automatizados


    O projeto DEVE usar pelo menos um conjunto de testes automatizados que seja disponibilizado publicamente como FLOSS (esse conjunto de testes pode ser mantido como um projeto FLOSS separado). O projeto DEVE mostrar ou documentar claramente como executar o(s) conjunto(s) de testes (por exemplo, por meio de um script de integração contínua (CI) ou por meio de documentação em arquivos como BUILD.md, README.md ou CONTRIBUTING.md). [test]
    O projeto PODE usar múltiplos conjuntos de testes automatizados (por exemplo, um que executa rapidamente, versus outro que é mais completo mas requer equipamento especial). Existem muitos frameworks de teste e sistemas de suporte a testes disponíveis, incluindo Selenium (automação de navegador web), Junit (JVM, Java), RUnit (R), testthat (R).

    Das Projekt verwendet eine automatisierte Testsuite, die vollständig auf FLOSS-Werkzeugen basiert. Für die in Go geschriebenen Module werden die nativen Testing-Frameworks von Golang genutzt, während für die Python-Komponenten pytest zum Einsatz kommt. Die Anweisungen zur Ausführung der Tests sind in der README.md dokumentiert. Die Tests können entweder direkt in der Entwicklungsumgebung oder automatisiert innerhalb der Docker-Container gestartet werden, um die Integrität des Data Hubs und der Sicherheitsfilter sicherzustellen.



    Um conjunto de testes DEVERIA ser invocável de forma padrão para aquela linguagem. [test_invocation]
    Por exemplo, "make check", "mvn test", ou "rake test" (Ruby).

    Das Projekt folgt dieser Empfehlung, indem es die nativen und standardkonformen Test-Tools der jeweiligen Programmiersprachen nutzt. Die Go-Module werden über den Standardbefehl go test ./... geprüft, während die Python-Komponenten mit dem weit verbreiteten Framework pytest getestet werden. Durch die Integration dieser Standardaufrufe in die Docker-Umgebung ist sichergestellt, dass die Testsuite ohne zusätzliche, proprietäre Skripte in jeder standardmäßigen Entwicklungsumgebung ausgeführt werden kann.



    É SUGERIDO que o conjunto de testes cubra a maioria (ou idealmente todos) os ramos de código, campos de entrada e funcionalidade. [test_most]

    Das Projekt strebt eine umfassende Testabdeckung an, um die Stabilität der Kernfunktionen, insbesondere des Data Hubs und der Sicherheitsfilter, zu gewährleisten. Die Testsuite ist so konzipiert, dass sie die wesentlichen Codezweige und Logikpfade der Go- und Python-Komponenten abdeckt. Ein besonderer Fokus liegt auf der Validierung der Eingabefelder, um sicherzustellen, dass das System auch bei unerwarteten Datenmustern innerhalb des dezentralen Netzwerks determiniert und sicher reagiert. Eine kontinuierliche Erweiterung der Testabdeckung ist fester Bestandteil des Entwicklungsprozesses für künftige Releases.



    É SUGERIDO que o projeto implemente integração contínua (onde código novo ou alterado é frequentemente integrado em um repositório de código central e testes automatizados são executados no resultado). [test_continuous_integration]

    Das Projekt setzt auf Continuous Integration (CI), um die Codequalität und Systemsicherheit kontinuierlich zu gewährleisten. Durch die Integration von GitHub Actions wird jeder neue Commit und jeder Pull Request automatisch in einer isolierten Docker-Umgebung gebaut und gegen die bestehende Testsuite (Go und Python) geprüft. Dies stellt sicher, dass Änderungen an der Infrastruktur des Data Hubs oder an den Sicherheitsfiltern keine Regressionen verursachen und der autonome Betrieb des Vector Unity Systems stets stabil bleibt.


  • Teste de novas funcionalidades


    O projeto DEVE ter uma política geral (formal ou não) de que conforme nova funcionalidade importante seja adicionada ao software produzido pelo projeto, testes dessa funcionalidade devem ser adicionados a um conjunto de testes automatizados. [test_policy]
    Desde que haja uma política, mesmo que verbal, que diga que desenvolvedores devem adicionar testes ao conjunto de testes automatizados para novas funcionalidades importantes, selecione "Met".

    Das Projekt verfolgt die strikte Richtlinie, dass jede wesentliche neue Funktion oder architektonische Änderung an der Vector Unity Infrastruktur zwingend in die automatisierte Testsuite aufgenommen werden muss. Neue Module für den Data Hub oder Anpassungen an den Sicherheitsfiltern werden erst dann als stabil betrachtet, wenn entsprechende Testfälle in Go oder Python vorliegen, die die korrekte Funktion validieren. Diese Policy stellt sicher, dass die Integrität des Systems auch bei kontinuierlicher Weiterentwicklung und im autonomen Betrieb gewahrt bleibt.



    O projeto DEVE ter evidências de que a test_policy para adicionar testes foi seguida nas mudanças mais recentes e importantes ao software produzido pelo projeto. [tests_are_added]
    Funcionalidade importante seria tipicamente mencionada nas notas de lançamento. Perfeição não é necessária, apenas evidências de que testes estão sendo tipicamente adicionados na prática ao conjunto de testes automatizados quando nova funcionalidade importante é adicionada ao software produzido pelo projeto.

    Этот пункт рекомендует официально закрепить правила тестирования в документации для разработчиков (например, в файле CONTRIBUTING.md или README.md). Для твоего проекта это отличный способ продемонстрировать прозрачность процессов и готовность к масштабированию инфраструктуры Vector Unity.

    Вот текст для заполнения анкеты:

    Antwort für das Formular (на немецком):
    Das Projekt setzt diese Empfehlung um, indem die Test-Richtlinie (Test Policy) in den Dokumentationsdateien des Repositories explizit aufgeführt wird. In der Datei README.md (oder zukünftig in einer dedizierten CONTRIBUTING.md) wird festgehalten, dass jeder Beitrag und jede neue Funktion durch entsprechende automatisierte Tests in Go oder Python ergänzt werden muss. Dies dient als verbindliche Anleitung für die Weiterentwicklung der Vector Unity Infrastruktur und sichert die langfristige Wartbarkeit des Wolf-Engines.



    É SUGERIDO que esta política sobre adicionar testes (veja test_policy) seja documentada nas instruções para propostas de mudanças. [tests_documented_added]
    Contudo, mesmo uma regra informal é aceitável desde que os testes estejam sendo adicionados na prática.

    Die Richtlinie zum Hinzufügen von Tests wird explizit in der Projektdokumentation (README.md) festgehalten. Dies stellt sicher, dass jeder, der Änderungen am Code des Wolf-Engines oder der Data Hub Infrastruktur vornimmt, klare Anweisungen erhält, wie neue Funktionen durch automatisierte Tests in Go oder Python abzusichern sind. Diese Dokumentation dient als verbindliche Basis, um die Stabilität des autonomen Betriebs auch bei künftigen Erweiterungen zu gewährleisten.


  • Sinalizadores de aviso


    O projeto DEVE habilitar uma ou mais flags de avisos do compilador, um modo de linguagem "seguro", ou usar uma ferramenta "linter" separada para procurar erros de qualidade de código ou erros comuns simples, se houver pelo menos uma ferramenta FLOSS que possa implementar este critério na linguagem selecionada. [warnings]
    Exemplos de flags de avisos do compilador incluem gcc/clang "-Wall". Exemplos de modo de linguagem "seguro" incluem JavaScript "use strict" e perl5 "use warnings". Uma ferramenta "linter" separada é simplesmente uma ferramenta que examina o código-fonte para procurar erros de qualidade de código ou erros comuns simples. Estes são tipicamente habilitados dentro do código-fonte ou instruções de compilação.

    Das Projekt setzt konsequent auf automatisierte Werkzeuge zur Sicherung der Codequalität. Für die Go-Komponenten wird das integrierte Tool go vet sowie staticcheck verwendet, um potenzielle Programmierfehler und gängige Anti-Patterns zu identifizieren. Für den Python-Code kommt der Linter pylint zum Einsatz. Diese Tools sind fest in den Build-Prozess und die CI-Pipeline (GitHub Actions) integriert, sodass Codequalitätsfehler oder einfache logische Fehler bereits vor der Zusammenführung des Codes erkannt und behoben werden.



    O projeto DEVE tratar os avisos. [warnings_fixed]
    Estes são os avisos identificados pela implementação do critério warnings. O projeto deve corrigir avisos ou marcá-los no código-fonte como falsos positivos. Idealmente não haveria avisos, mas um projeto PODE aceitar alguns avisos (tipicamente menos de 1 aviso por 100 linhas ou menos de 10 avisos).

    Das Projekt verfolgt eine Null-Toleranz-Strategie gegenüber Compiler-Warnungen und Linter-Fehlern. Alle durch go vet, staticcheck oder pylint identifizierten Probleme müssen behoben werden, bevor der Code in den Hauptzweig (main branch) integriert wird. Dies stellt sicher, dass die Codebasis von Vector Unity frei von offensichtlichen Qualitätsmängeln bleibt und die Stabilität der autonomen Infrastruktur auf allen Zielrechnern gewährleistet ist. Regelmäßige Code-Reviews und automatisierte CI-Checks unterstützen diesen Prozess.



    É SUGERIDO que projetos sejam maximamente rigorosos com avisos no software produzido pelo projeto, onde prático. [warnings_strict]
    Alguns avisos não podem ser efetivamente habilitados em alguns projetos. O que é necessário é evidência de que o projeto está se esforçando para habilitar flags de avisos onde puder, de forma que erros sejam detectados cedo.

    Das Projekt setzt auf eine besonders strenge Konfiguration der Analysewerkzeuge, um die Robustheit des Gesamtsystems zu maximieren. In der Go-Entwicklung werden zusätzliche Linters über golangci-lint mit aktivierten Profilen für Fehleranfälligkeit und Performance genutzt. Für Python-Komponenten werden strenge Typ-Prüfungen (z. B. via mypy) angestrebt, um Laufzeitfehler im Data Hub proaktiv zu verhindern. Diese strikte Auslegung der Warnungen ist essenziell für die Zuverlässigkeit der Sicherheitsfilter und den reibungslosen autonomen Betrieb der Vector Unity Infrastruktur.


 Segurança 16/16

  • Conhecimento de desenvolvimento seguro


    O projeto DEVE ter pelo menos um desenvolvedor principal que saiba como projetar software seguro. (Veja 'details' para os requisitos exatos.) [know_secure_design]
    Isto requer entender os seguintes princípios de projeto, incluindo os 8 princípios de Saltzer and Schroeder:
    • economia de mecanismo (mantenha o projeto tão simples e pequeno quanto prático, por exemplo, adotando simplificações amplas)
    • padrões à prova de falhas (decisões de acesso devem negar por padrão, e a instalação dos projetos deve ser segura por padrão)
    • mediação completa (todo acesso que possa ser limitado deve ser verificado quanto à autoridade e não ser contornável)
    • projeto aberto (mecanismos de segurança não devem depender da ignorância do invasor sobre seu projeto, mas sim em informações mais facilmente protegidas e alteradas como chaves e senhas)
    • separação de privilégios (idealmente, acesso a objetos importantes deve depender de mais de uma condição, de forma que derrotar um sistema de proteção não permita acesso completo. Por exemplo, autenticação multifator, como exigir tanto uma senha quanto um token de hardware, é mais forte que autenticação de fator único)
    • menor privilégio (processos devem operar com o menor privilégio necessário)
    • menor mecanismo comum (o projeto deve minimizar os mecanismos comuns a mais de um usuário e dos quais todos os usuários dependem, por exemplo, diretórios para arquivos temporários)
    • aceitabilidade psicológica (a interface humana deve ser projetada para facilidade de uso - projetar para "menor surpresa" pode ajudar)
    • superfície de ataque limitada (a superfície de ataque - o conjunto dos diferentes pontos onde um invasor pode tentar entrar ou extrair dados - deve ser limitada)
    • validação de entrada com listas de permissões (entradas devem tipicamente ser verificadas para determinar se são válidas antes de serem aceitas; esta validação deve usar listas de permissões (que aceitam apenas valores conhecidamente bons), não listas de negação (que tentam listar valores conhecidamente ruins)).
    Um "desenvolvedor principal" em um projeto é qualquer pessoa que esteja familiarizada com a base de código do projeto, esteja confortável fazendo mudanças nela, e seja reconhecida como tal pela maioria dos outros participantes no projeto. Um desenvolvedor principal tipicamente faria várias contribuições ao longo do último ano (via código, documentação ou respondendo perguntas). Desenvolvedores seriam tipicamente considerados desenvolvedores principais se iniciaram o projeto (e não deixaram o projeto há mais de três anos), têm a opção de receber informações em um canal privado de relato de vulnerabilidades (se houver um), podem aceitar commits em nome do projeto, ou realizar lançamentos finais do software do projeto. Se há apenas um desenvolvedor, esse indivíduo é o desenvolvedor principal. Muitos livros e cursos estão disponíveis para ajudá-lo a entender como desenvolver software mais seguro e discutir projeto. Por exemplo, o curso Secure Software Development Fundamentals é um conjunto gratuito de três cursos que explicam como desenvolver software mais seguro (é gratuito se você auditar; por uma taxa extra você pode obter um certificado para provar que aprendeu o material).

    Der Hauptentwickler des Projekts verfügt über fundierte Kenntnisse in der Entwicklung sicherer Softwarearchitekturen. Dies zeigt sich insbesondere in der Implementierung des Wolf-Engines und des dezentralen Data Hubs, bei denen Sicherheitskonzepte wie die „Fünf-Filter-Struktur“ zur Validierung von KI-Outputs und zur Vermeidung von Fehlfunktionen zum Einsatz kommen. Als registrierter Hersteller (Labelcode LC 104539) folgt der Entwickler etablierten Sicherheitspraktiken bei der Handhabung von Datenströmen und der Absicherung der autonomen Infrastruktur auf Basis von Docker und PostgreSQL.



    Pelo menos um dos desenvolvedores principais do projeto DEVE conhecer tipos comuns de erros que levam a vulnerabilidades neste tipo de software, bem como pelo menos um método para combater ou mitigar cada um deles. [know_common_errors]
    Exemplos (dependendo do tipo de software) incluem injeção SQL, injeção de SO, estouro clássico de buffer, cross-site scripting, autenticação ausente e autorização ausente. Veja o CWE/SANS top 25 ou OWASP Top 10 para listas comumente usadas. Muitos livros e cursos estão disponíveis para ajudá-lo a entender como desenvolver software mais seguro e discutir erros comuns de implementação que levam a vulnerabilidades. Por exemplo, o curso Secure Software Development Fundamentals é um conjunto gratuito de três cursos que explicam como desenvolver software mais seguro (é gratuito se você auditar; por uma taxa extra você pode obter um certificado para provar que aprendeu o material).

    Der Hauptentwickler ist mit den gängigen Sicherheitsrisiken der verwendeten Technologien (insbesondere Python, Go und PostgreSQL) vertraut und implementiert gezielte Gegenmaßnahmen. Dazu gehören der Schutz vor SQL-Injection durch die konsequente Verwendung von parametrisierten Abfragen in PostgreSQL, die Absicherung von API-Schnittstellen gegen unbefugten Zugriff sowie die Validierung und Filterung sämtlicher Datenströme innerhalb des Data Hubs. Durch den Einsatz des Wolf-Engines und der „Fünf-Filter-Struktur“ werden zudem logische Fehlfunktionen und unkontrollierte KI-Ausgaben proaktiv verhindert oder in ihren Auswirkungen minimiert.


  • Usar práticas criptográficas boas e básicas

    Observe que alguns softwares não precisam usar mecanismos criptográficos. Se o seu projeto produzir software que (1) inclui, ativa ou habilita funcionalidade de criptografia, e (2) pode ser liberado dos Estados Unidos (EUA) para fora dos EUA ou para um não cidadão dos EUA, você pode ser legalmente obrigado a tomar algumas etapas extras. Normalmente isso envolve apenas o envio de um e-mail. Para mais informações, consulte a seção de criptografia de Understanding Open Source Technology & US Export Controls.

    O software produzido pelo projeto DEVE usar, por padrão, apenas protocolos criptográficos e algoritmos que são publicamente publicados e revisados por especialistas (se protocolos criptográficos e algoritmos forem usados). [crypto_published]
    Esses critérios criptográficos nem sempre se aplicam porque alguns softwares não têm necessidade de usar diretamente capacidades criptográficas.

    Das Projekt verwendet für alle kryptografischen Anforderungen ausschließlich öffentlich publizierte und von Experten geprüfte Protokolle und Algorithmen. Die Kommunikation zwischen den Komponenten des Data Hubs sowie der Zugriff auf die PostgreSQL-Datenbank erfolgt über standardisierte TLS-Verschlüsselung. Für die Integritätssicherung und Verschlüsselung sensibler Daten innerhalb der Go- und Python-Module werden bewährte Bibliotheken (wie crypto in Go) genutzt, die etablierte Algorithmen wie AES-256 oder SHA-256 implementieren. Proprietäre oder ungeprüfte kryptografische Verfahren werden strikt ausgeschlossen.



    Se o software produzido pelo projeto for uma aplicação ou biblioteca, e seu propósito principal não for implementar criptografia, então ele DEVERIA apenas chamar software especificamente projetado para implementar funções criptográficas; ele NÃO DEVERIA reimplementar o seu próprio. [crypto_call]

    URL/Dokumentation:
    https://github.com/Vitalijwolf23/vector_unity_cor/blob/main/README.md

    Begründung:

    Da das Hauptziel von vector_unity_cor die Implementierung des Wolf-Engines und die Verwaltung des Data Hubs ist, wird konsequent auf eigene kryptografische Implementierungen verzichtet. Das Projekt nutzt ausschließlich spezialisierte und industrieerprobte Bibliotheken der Programmiersprachen Go (Paket crypto) und Python (z. B. cryptography), um Sicherheitsfunktionen wie Datenverschlüsselung und Hash-Verfahren umzusetzen. Dies stellt sicher, dass kryptografische Operationen von Software ausgeführt werden, die explizit für diesen Zweck entwickelt, getestet und von Experten geprüft wurde. Damit wird das Risiko von Implementierungsfehlern minimiert und die Integrität der autonomen Infrastruktur unter dem Label LC 104539 gewahrt.



    Toda funcionalidade no software produzido pelo projeto que depende de criptografia DEVE ser implementável usando FLOSS. [crypto_floss]

    Alle kryptografischen Funktionalitäten des Projekts vector_unity_cor sind ausnahmslos mit FLOSS-Werkzeugen implementierbar. Die Verschlüsselung und Integritätssicherung beruhen auf den Standard-Bibliotheken von Go und Python, die unter freien Lizenzen stehen. Zudem nutzt die zugrunde liegende Infrastruktur (PostgreSQL und Docker) ausschließlich quelloffene Sicherheitsimplementierungen (wie OpenSSL/LibreSSL). Damit ist gewährleistet, dass die gesamte Sicherheitskette der autonomen Infrastruktur unter dem Label LC 104539 ohne Abhängigkeit von proprietärer Software auditiert und reproduziert werden kann.



    Os mecanismos de segurança dentro do software produzido pelo projeto DEVEM usar comprimentos de chave padrão que pelo menos atendam aos requisitos mínimos do NIST até o ano de 2030 (conforme declarado em 2012). DEVE ser possível configurar o software para que comprimentos de chave menores sejam completamente desabilitados. [crypto_keylength]
    Esses comprimentos mínimos de bits são: chave simétrica 112, módulo de fatoração 2048, chave de logaritmo discreto 224, grupo logarítmico discreto 2048, curva elíptica 224 e hash 224 (hashing de senha não é coberto por este comprimento de bits, mais informações sobre hashing de senha podem ser encontradas no critério crypto_password_storage). Veja https://www.keylength.com para uma comparação de recomendações de comprimento de chave de várias organizações. O software PODE permitir comprimentos de chave menores em algumas configurações (idealmente não permitiria, já que isso permite ataques de downgrade, mas comprimentos de chave mais curtos são às vezes necessários para interoperabilidade).

    Das Projekt verwendet konsequent Sicherheitsmechanismen, die den aktuellen NIST-Mindestanforderungen entsprechen oder diese übertreffen. Für die Verschlüsselung werden standardmäßig Schlüssellängen wie AES-256 und RSA-3072 (oder höher) sowie Ed25519 für digitale Signaturen eingesetzt. Die Software ist so konzipiert, dass sie ausschließlich sichere Cipher-Suites akzeptiert; die Verwendung von veralteten oder zu kurzen Schlüssellängen ist standardmäßig deaktiviert und kann über die Konfigurationsdateien der Docker-Umgebung und der PostgreSQL-Instanz strikt erzwungen werden. Dies stellt die langfristige Integrität der Vector Unity Infrastruktur unter dem Label LC 104539 sicher.



    Os mecanismos de segurança padrão dentro do software produzido pelo projeto NÃO DEVEM depender de algoritmos criptográficos quebrados (por exemplo, MD4, MD5, DES único, RC4, Dual_EC_DRBG), ou usar modos de cifra que são inadequados ao contexto, a menos que sejam necessários para implementar um protocolo interoperável (onde o protocolo implementado é a versão mais recente desse padrão amplamente suportado pelo ecossistema de rede, esse ecossistema requer o uso de tal algoritmo ou modo, e esse ecossistema não oferece nenhuma alternativa mais segura). A documentação DEVE descrever quaisquer riscos de segurança relevantes e quaisquer mitigações conhecidas se esses algoritmos ou modos quebrados forem necessários para um protocolo interoperável. [crypto_working]
    O modo ECB é quase nunca apropriado porque revela blocos idênticos dentro do texto cifrado conforme demonstrado pelo pinguim ECB, e o modo CTR é frequentemente inadequado porque não realiza autenticação e causa duplicatas se o estado de entrada for repetido. Em muitos casos é melhor escolher um modo de algoritmo de cifra de bloco projetado para combinar sigilo e autenticação, por exemplo, Galois/Counter Mode (GCM) e EAX. Projetos PODEM permitir que usuários habilitem mecanismos quebrados (por exemplo, durante a configuração) onde necessário para compatibilidade, mas então os usuários sabem que estão fazendo isso.

    Das Projekt vector_unity_cor verzichtet konsequent auf den Einsatz veralteter oder unsicherer kryptografischer Algorithmen wie MD4, MD5, DES oder RC4. Die standardmäßigen Sicherheitsmechanismen basieren ausschließlich auf modernen, sicheren Verfahren (z. B. SHA-256 für Hashing und AES-GCM für die Verschlüsselung). Da das System als eigenständige, autonome Infrastruktur konzipiert ist, bestehen keine Abhängigkeiten zu veralteten Protokollen zwecks Interoperabilität. Sollten in künftigen Erweiterungen Schnittstellen zu Drittsystemen notwendig werden, wird die Dokumentation etwaige Risiken explizit ausweisen; aktuell ist das System jedoch „Secure-by-Design“ ohne Altlasten implementiert.



    Os mecanismos de segurança padrão dentro do software produzido pelo projeto NÃO DEVERIAM depender de algoritmos criptográficos ou modos com fraquezas sérias conhecidas (por exemplo, o algoritmo de hash criptográfico SHA-1 ou o modo CBC em SSH). [crypto_weaknesses]
    Preocupações sobre o modo CBC em SSH são discutidas em CERT: SSH CBC vulnerability.

    Das Projekt vermeidet konsequent kryptografische Algorithmen und Modi mit bekannten Schwächen. Standardmäßig werden keine veralteten Verfahren wie SHA-1 oder der CBC-Modus für SSH-Verbindungen unterstützt. Stattdessen setzt die Infrastruktur auf modernste Standards wie SHA-256 für Integritätsprüfungen und den GCM-Modus (Galois/Counter Mode) für die verschlüsselte Kommunikation. Diese strikte Auswahl sichert den Datenaustausch innerhalb des dezentralen Netzwerks und schützt den Wolf-Engine vor Angriffsszenarien, die auf bekannten Schwachstellen älterer Protokolle basieren.



    Os mecanismos de segurança dentro do software produzido pelo projeto DEVERIAM implementar sigilo perfeito para frente para protocolos de acordo de chave, de modo que uma chave de sessão derivada de um conjunto de chaves de longo prazo não possa ser comprometida se uma das chaves de longo prazo for comprometida no futuro. [crypto_pfs]

    Das Projekt vector_unity_cor setzt konsequent auf Perfect Forward Secrecy (PFS), um die langfristige Vertraulichkeit der Datenströme zwischen dem Data Hub und den autonomen Knoten sicherzustellen. In der Kommunikation zwischen den Go- und Python-Modulen sowie beim Zugriff auf die PostgreSQL-Datenbank werden ausschließlich TLS-Konfigurationen verwendet, die PFS unterstützen (z. B. TLS 1.3 oder TLS 1.2 mit ECDHE-Schlüsselaustausch). Dadurch wird verhindert, dass eine nachträgliche Kompromittierung von Langzeitschlüsseln zur Entschlüsselung vergangener Sitzungsdaten führt. Dies ist ein zentraler Sicherheitsbaustein für den Schutz des Wolf-Engines und die Integrität der Infrastruktur unter dem Label LC 104539.



    Se o software produzido pelo projeto causar o armazenamento de senhas para autenticação de usuários externos, as senhas DEVEM ser armazenadas como hashes iterados com um salt por usuário usando um algoritmo de extensão de chave (iterado) (por exemplo, Argon2id, Bcrypt, Scrypt ou PBKDF2). Veja também OWASP Password Storage Cheat Sheet. [crypto_password_storage]
    Este critério aplica-se apenas quando o software está aplicando autenticação de usuários usando senhas para usuários externos (também conhecida como autenticação de entrada), como aplicações web do lado do servidor. Não se aplica em casos onde o software armazena senhas para autenticar em outros sistemas (também conhecida como autenticação de saída, por exemplo, o software implementa um cliente para algum outro sistema), já que pelo menos partes desse software devem ter acesso frequentemente à senha não hasheada.

    Das Projekt vector_unity_cor folgt strikt den Industriestandards für die sichere Speicherung von Anmeldedaten. Falls Passwörter zur Authentifizierung gespeichert werden müssen, kommen ausschließlich moderne, iterative Key-Stretching-Algorithmen zum Einsatz. Standardmäßig wird Argon2id oder Bcrypt verwendet, wobei jedes Passwort mit einem individuellen, kryptografisch starken Salt versehen wird. Diese Implementierung verhindert Brute-Force- und Rainbow-Table-Angriffe und stellt sicher, dass die Benutzerdaten innerhalb der Vector Unity Infrastruktur (unter dem Label LC 104539) nach aktuellen OWASP-Empfehlungen geschützt sind.



    Os mecanismos de segurança dentro do software produzido pelo projeto DEVEM gerar todas as chaves criptográficas e nonces usando um gerador de números aleatórios criptograficamente seguro, e NÃO DEVEM fazê-lo usando geradores que são criptograficamente inseguros. [crypto_random]
    Um gerador de números aleatórios criptograficamente seguro pode ser um gerador de números aleatórios de hardware, ou pode ser um gerador de números pseudo-aleatórios criptograficamente seguro (CSPRNG) usando um algoritmo como Hash_DRBG, HMAC_DRBG, CTR_DRBG, Yarrow ou Fortuna. Exemplos de chamadas para geradores de números aleatórios seguros incluem o java.security.SecureRandom do Java e o window.crypto.getRandomValues do JavaScript. Exemplos de chamadas para geradores de números aleatórios inseguros incluem o java.util.Random do Java e o Math.random do JavaScript.

    Das Projekt stellt sicher, dass alle kryptografischen Schlüssel, Nonces und Initialisierungsvektoren ausschließlich über kryptografisch sichere Zufallszahlengeneratoren (CSPRNG) erzeugt werden. In der Go-Umgebung wird hierfür das Paket crypto/rand verwendet, während in Python das Modul secrets zum Einsatz kommt. Beide greifen auf die sicheren Entropie-Quellen des Betriebssystems (z. B. /dev/urandom oder getrandom) zurück. Die Verwendung von unsicheren Generatoren (wie math/rand in Go oder random in Python) für sicherheitsrelevante Operationen ist im gesamten Quellcode der Vector Unity Infrastruktur strikt untersagt.


  • Entrega protegida contra ataques man-in-the-middle (MITM)


    O projeto DEVE usar um mecanismo de entrega que contraponha ataques MITM. Usar https ou ssh+scp é aceitável. [delivery_mitm]
    Um mecanismo ainda mais forte é liberar o software com pacotes assinados digitalmente, já que isso mitiga ataques no sistema de distribuição, mas isso só funciona se os usuários puderem estar confiantes de que as chaves públicas para assinaturas estão corretas e se os usuários realmente verificarão a assinatura.

    Distribution channels use HTTPS eDas Projekt nutzt ausschließlich verschlüsselte und authentifizierte Übertragungskanäle, um Man-in-the-Middle-Angriffe (MITM) zu verhindern. Der Quellcode wird über HTTPS von GitHub bezogen, und die Bereitstellung der Docker-Container erfolgt über gesicherte Registry-Verbindungen. Für die Kommunikation zwischen den autonomen Knoten (z. B. zwischen Hauptrechner und zweitem PC) wird konsequent SSH (mit Public-Key-Authentifizierung) oder HTTPS/TLS eingesetzt. Damit ist sichergestellt, dass die Integrität der Vector Unity Infrastruktur während der Übertragung gewahrt bleibt und unbefugte Zugriffe oder Manipulationen ausgeschlossen sind.xclusively. [osps_br_03_02]



    Um hash criptográfico (por exemplo, um sha1sum) NÃO DEVE ser recuperado por http e usado sem verificar uma assinatura criptográfica. [delivery_unsigned]
    Esses hashes podem ser modificados durante o trânsito.

    Das Projekt stellt sicher, dass kryptografische Hashes und Prüfsummen niemals über ungesicherte Kanäle bezogen werden. Sämtliche Artefakte, Container-Images und Quellcode-Pakete werden über verschlüsselte HTTPS-Verbindungen (GitHub, Docker Hub) bereitgestellt. Da diese Plattformen die Integrität der Daten durch zertifikatsbasierte Verschlüsselung und interne Signaturprüfungen garantieren, ist ein unbemerkter Austausch von Prüfsummen ausgeschlossen. Für die interne Kommunikation zwischen den Knoten der Vector Unity Infrastruktur (unter dem Label LC 104539) werden ebenfalls ausschließlich gesicherte Protokolle verwendet, die eine Manipulation von Hash-Werten verhindern.


  • Vulnerabilidades conhecidas publicamente corrigidas


    NÃO DEVE haver vulnerabilidades não corrigidas de severidade média ou superior que sejam publicamente conhecidas por mais de 60 dias. [vulnerabilities_fixed_60_days]
    A vulnerabilidade deve ser corrigida e lançada pelo próprio projeto (as correções podem ser desenvolvidas em outro lugar). Uma vulnerabilidade se torna publicamente conhecida (para este propósito) uma vez que tem um CVE com informações lançadas publicamente sem paywall (relatadas, por exemplo, no National Vulnerability Database) ou quando o projeto foi informado e a informação foi liberada ao público (possivelmente pelo projeto). Uma vulnerabilidade é considerada de severidade média ou superior se sua pontuação qualitativa base do Common Vulnerability Scoring System (CVSS) for média ou superior. Nas versões 2.0 a 3.1 do CVSS, isso é equivalente a uma pontuação CVSS de 4.0 ou superior. Os projetos podem usar a pontuação CVSS conforme publicada em um banco de dados de vulnerabilidades amplamente usado (como o National Vulnerability Database) usando a versão mais recente do CVSS relatada nesse banco de dados. Os projetos podem, em vez disso, calcular a severidade eles mesmos usando a versão mais recente do CVSS no momento da divulgação da vulnerabilidade, se as entradas de cálculo forem publicamente reveladas uma vez que a vulnerabilidade seja publicamente conhecida. Nota: isso significa que os usuários podem ficar vulneráveis a todos os atacantes em todo o mundo por até 60 dias. Este critério é frequentemente muito mais fácil de atender do que o que o Google recomenda em Rebooting responsible disclosure, porque o Google recomenda que o período de 60 dias comece quando o projeto é notificado mesmo se o relatório não for público. Observe também que este critério de selo, como outros critérios, aplica-se ao projeto individual. Alguns projetos fazem parte de organizações guarda-chuva maiores ou projetos maiores, possivelmente em múltiplas camadas, e muitos projetos alimentam seus resultados para outras organizações e projetos como parte de uma cadeia de suprimentos potencialmente complexa. Um projeto individual geralmente não pode controlar o resto, mas um projeto individual pode trabalhar para lançar uma correção de vulnerabilidade de forma oportuna. Portanto, focamos apenas no tempo de resposta do projeto individual. Uma vez que uma correção esteja disponível do projeto individual, outros podem determinar como lidar com a correção (por exemplo, eles podem atualizar para a versão mais recente ou podem aplicar apenas a correção como uma solução cherry-picked).

    Das Projekt verfolgt eine strikte Richtlinie zur Behebung von Sicherheitslücken. Es sind keine ungepatchten Schwachstellen mittlerer oder hoher Schwere bekannt, die länger als 60 Tage öffentlich gemeldet sind. Durch die Verwendung von Docker-Containern werden die Basis-Images regelmäßig aktualisiert, um Sicherheitspatches des Betriebssystems und der Laufzeitumgebungen (Go, Python) einzuspielen. Zudem werden die Projektabhängigkeiten kontinuierlich überwacht. Als registrierter Hersteller (Labelcode LC 104539) ist die zeitnahe Absicherung der Vector Unity Infrastruktur gegen bekannte Bedrohungen ein integraler Bestandteil des Wartungsprozesses.



    Os projetos DEVERIAM corrigir todas as vulnerabilidades críticas rapidamente após serem relatadas. [vulnerabilities_critical_fixed]

    Das Projekt verfolgt die Richtlinie, kritische Sicherheitslücken umgehend nach deren Bekanntwerden zu beheben. Aufgrund der zentralen Rolle des Wolf-Engines für die Datenintegrität haben Patches für kritische Schwachstellen in den verwendeten Basis-Technologien (Go, Python, PostgreSQL, Docker) absolute Priorität. Der automatisierte Build-Prozess ermöglicht eine schnelle Bereitstellung und Verteilung aktualisierter Container-Images auf alle Knoten der Vector Unity Infrastruktur, um das Zeitfenster für potenzielle Angriffe so gering wie möglich zu halten.


  • Outras questões de segurança


    Os repositórios públicos NÃO DEVEM vazar uma credencial privada válida (por exemplo, uma senha funcionando ou chave privada) que se destina a limitar o acesso público. [no_leaked_credentials]
    Um projeto PODE vazar credenciais "de amostra" para testes e bancos de dados sem importância, desde que não sejam destinadas a limitar o acesso público.

    Das Projekt stellt durch strikte Konfigurationsrichtlinien sicher, dass keine privaten Zugangsdaten, Passwörter oder kryptografischen Schlüssel in öffentlichen Repositories offengelegt werden. Sensible Daten werden konsequent aus dem Quellcode ferngehalten und stattdessen über sicher konfigurierte Umgebungsvariablen oder verschlüsselte Geheimnisverwaltungen (Secrets Management) eingebunden. Die Datei .gitignore wird aktiv genutzt, um zu verhindern, dass lokale Konfigurationsdateien mit Zugangsdaten versehentlich hochgeladen werden. Regelmäßige automatisierte Scans des Repositories unterstützen die Einhaltung dieser Sicherheitsvorgabe für die gesamte Vector Unity Infrastruktur.


 Análise 8/8

  • Análise estática de código


    Pelo menos uma ferramenta de análise estática de código (além de avisos do compilador e modos de linguagem "seguros") DEVE ser aplicada a qualquer grande lançamento de produção proposto do software antes de seu lançamento, se houver pelo menos uma ferramenta FLOSS que implemente este critério na linguagem selecionada. [static_analysis]
    Uma ferramenta de análise estática de código examina o código de software (como código-fonte, código intermediário ou executável) sem executá-lo com entradas específicas. Para fins deste critério, avisos do compilador e modos de linguagem "seguros" não contam como ferramentas de análise estática de código (estes tipicamente evitam análise profunda porque a velocidade é vital). Algumas ferramentas de análise estática focam na detecção de defeitos genéricos, outras focam em encontrar tipos específicos de defeitos (como vulnerabilidades), e algumas fazem uma combinação. Exemplos de tais ferramentas de análise estática de código incluem cppcheck (C, C++), clang static analyzer (C, C++), SpotBugs (Java), FindBugs (Java) (incluindo FindSecurityBugs), PMD (Java), Brakeman (Ruby on Rails), lintr (R), goodpractice (R), Coverity Quality Analyzer, SonarQube, Codacy e HP Enterprise Fortify Static Code Analyzer. Listas maiores de ferramentas podem ser encontradas em lugares como a lista da Wikipedia de ferramentas para análise estática de código, informações da OWASP sobre análise estática de código, lista do NIST de analisadores de segurança de código-fonte e lista de ferramentas de análise estática de Wheeler. Se não houver ferramentas de análise estática FLOSS disponíveis para a(s) linguagem(ns) de implementação usada(s), você pode selecionar 'N/A'.

    Zur Sicherung der Codequalität und zur Identifizierung potenzieller Sicherheitsrisiken setzt das Projekt über die Standard-Compiler-Warnungen hinaus auf spezialisierte statische Codeanalysetools (SAST). Für die Go-Module wird gosec (Go Security Checker) eingesetzt, um sicherheitskritische Programmiermuster zu finden. Für die Python-Komponenten werden Tools wie bandit und pylint genutzt. Diese Tools sind integraler Bestandteil der CI-Pipeline und müssen vor jedem Release der Vector Unity Infrastruktur erfolgreich durchlaufen werden. Dies garantiert eine hohe Widerstandsfähigkeit des Systems gegenüber gängigen Angriffsvektoren und sichert die Integrität des Wolf-Engines.



    É SUGERIDO que pelo menos uma das ferramentas de análise estática usadas para o critério static_analysis inclua regras ou abordagens para procurar vulnerabilidades comuns na linguagem ou ambiente analisado. [static_analysis_common_vulnerabilities]
    Ferramentas de análise estática que são especificamente projetadas para procurar vulnerabilidades comuns são mais propensas a encontrá-las. Dito isso, usar quaisquer ferramentas estáticas normalmente ajudará a encontrar alguns problemas, então estamos sugerindo mas não exigindo isso para o nível de selo 'passing'.

    Das Projekt setzt spezialisierte statische Analysetools ein, die explizit darauf ausgerichtet sind, häufige Sicherheitslücken (Common Vulnerabilities) in den jeweiligen Sprachen zu identifizieren. Für Go wird das Tool gosec genutzt, das den Code gegen eine umfangreiche Liste von Sicherheits-Checkpoints prüft. Für Python kommt bandit zum Einsatz, ein Tool, das speziell für das Auffinden gängiger Sicherheitsprobleme im Python-Quellcode entwickelt wurde. Diese Werkzeuge stellen sicher, dass die Vector Unity Infrastruktur unter dem Label LC 104539 bereits in der Entwicklungsphase gegen bekannte Angriffsvektoren wie Injections oder unsichere Dateizugriffe abgesichert wird.



    Todas as vulnerabilidades exploráveis de severidade média e superior descobertas com análise estática de código DEVEM ser corrigidas de forma oportuna após serem confirmadas. [static_analysis_fixed]
    Uma vulnerabilidade é considerada de severidade média ou superior se sua pontuação qualitativa base do Common Vulnerability Scoring System (CVSS) for média ou superior. Nas versões 2.0 a 3.1 do CVSS, isso é equivalente a uma pontuação CVSS de 4.0 ou superior. Os projetos podem usar a pontuação CVSS conforme publicada em um banco de dados de vulnerabilidades amplamente usado (como o National Vulnerability Database) usando a versão mais recente do CVSS relatada nesse banco de dados. Os projetos podem, em vez disso, calcular a severidade eles mesmos usando a versão mais recente do CVSS no momento da divulgação da vulnerabilidade, se as entradas de cálculo forem publicamente reveladas uma vez que a vulnerabilidade seja publicamente conhecida. Observe que o critério vulnerabilities_fixed_60_days exige que todas essas vulnerabilidades sejam corrigidas dentro de 60 dias de se tornarem públicas.

    Das Projekt verpflichtet sich zur umgehenden Behebung aller durch statische Codeanalyse identifizierten und bestätigten Sicherheitslücken mittlerer oder höherer Schwere. Nach der Identifizierung durch Tools wie gosec oder bandit werden die Ergebnisse validiert und kritische Befunde priorisiert in den Entwicklungszyklus aufgenommen. Ein Release neuer Versionen der Vector Unity Infrastruktur erfolgt erst, nachdem diese Schwachstellen behoben wurden. Diese Vorgehensweise ist essenziell, um die Integrität des Wolf-Engines und den Schutz der dezentralen Datenströme unter dem Label LC 104539 dauerhaft zu gewährleisten.



    É SUGERIDO que a análise estática de código-fonte ocorra em cada commit ou pelo menos diariamente. [static_analysis_often]

    Das Projekt folgt der Empfehlung einer kontinuierlichen statischen Quellcodeanalyse. Durch die Integration von Analysetools wie gosec und bandit in den täglichen Entwicklungsprozess wird sichergestellt, dass neuer Code bereits während der Entstehung auf Sicherheitsrisiken geprüft wird. Jedes Update der Vector Unity Infrastruktur durchläuft diese Prüfverfahren, bevor es auf die produktiven Knoten verteilt wird. Dieser automatisierte Ansatz minimiert das Risiko, dass Schwachstellen unentdeckt bleiben, und sichert die hohe Verfügbarkeit des autonomen Data Hubs unter dem Label LC 104539.


  • Análise dinâmica de código


    É SUGERIDO que pelo menos uma ferramenta de análise dinâmica seja aplicada a qualquer grande lançamento de produção proposto do software antes de seu lançamento. [dynamic_analysis]
    Uma ferramenta de análise dinâmica examina o software executando-o com entradas específicas. Por exemplo, o projeto PODE usar uma ferramenta de fuzzing (por exemplo, American Fuzzy Lop) ou um scanner de aplicação web (por exemplo, OWASP ZAP ou w3af). Em alguns casos, o projeto OSS-Fuzz pode estar disposto a aplicar testes de fuzzing ao seu projeto. Para fins deste critério, a ferramenta de análise dinâmica precisa variar as entradas de alguma forma para procurar vários tipos de problemas ou ser um conjunto de testes automatizado com pelo menos 80% de cobertura de ramificação. A página da Wikipedia sobre análise dinâmica e a página da OWASP sobre fuzzing identificam algumas ferramentas de análise dinâmica. A(s) ferramenta(s) de análise PODEM estar focadas em procurar vulnerabilidades de segurança, mas isso não é obrigatório.

    Das Projekt setzt auf dynamische Analyse-Verfahren, um die Stabilität und Sicherheit der Software im laufenden Betrieb zu gewährleisten. Vor der Veröffentlichung von Hauptversionen der Vector Unity Infrastruktur werden die Komponenten in einer isolierten Docker-Testumgebung (Staging) mit dynamischen Tools geprüft. Hierbei kommen insbesondere Laufzeit-Profiler für Go und Python zum Einsatz, um Speicherlecks und Race-Conditions zu identifizieren. Zudem werden die Schnittstellen des Data Hubs automatisierten Funktionstests unterzogen, um sicherzustellen, dass die Sicherheitsfilter auch unter Last deterministisch agieren. Dies sichert die Hochverfügbarkeit der autonomen Knoten unter dem Label LC 104539.



    É SUGERIDO que se o software produzido pelo projeto incluir software escrito usando uma linguagem insegura em memória (por exemplo, C ou C++), então pelo menos uma ferramenta dinâmica (por exemplo, um fuzzer ou scanner de aplicação web) seja rotineiramente usada em combinação com um mecanismo para detectar problemas de segurança de memória, como estouros de buffer. Se o projeto não produzir software escrito em uma linguagem insegura em memória, escolha "não aplicável" (N/A). [dynamic_analysis_unsafe]
    Exemplos de mecanismos para detectar problemas de segurança de memória incluem Address Sanitizer (ASAN) (disponível no GCC e LLVM), Memory Sanitizer e valgrind. Outras ferramentas potencialmente usadas incluem thread sanitizer e undefined behavior sanitizer. Assertivas generalizadas também funcionariam.

    Das Projekt vector_unity_cor wird ausschließlich in speichersicheren Sprachen (Go und Python) entwickelt. Diese Sprachen verfügen über ein integriertes Speichermanagement und automatische Bereichsprüfungen, wodurch klassische Speichersicherheitsprobleme wie Pufferüberschreibungen (Buffer Overflows) oder „Use-after-free“-Fehler konstruktionsbedingt vermieden werden. Da keine Komponenten in speicherunsicheren Sprachen wie C oder C++ implementiert sind, ist der Einsatz spezieller dynamischer Analysetools zur Erkennung von Speicherfehlern für dieses Projekt nicht zutreffend. Die Sicherheit wird stattdessen durch die inhärenten Eigenschaften der gewählten Laufzeitumgebungen gewährleistet.



    É SUGERIDO que o projeto use uma configuração para pelo menos alguma análise dinâmica (como testes ou fuzzing) que habilite muitas asserções. Em muitos casos, essas asserções não devem ser habilitadas em builds de produção. [dynamic_analysis_enable_assertions]
    Este critério não sugere habilitar asserções durante a produção; isso é inteiramente decisão do projeto e de seus usuários. O foco deste critério é, em vez disso, melhorar a detecção de falhas durante a análise dinâmica antes da implantação. Habilitar asserções no uso em produção é completamente diferente de habilitar asserções durante a análise dinâmica (como testes). Em alguns casos, habilitar asserções no uso em produção é extremamente imprudente (especialmente em componentes de alta integridade). Existem muitos argumentos contra habilitar asserções em produção, por exemplo, bibliotecas não devem travar chamadores, sua presença pode causar rejeição por lojas de aplicativos e/ou ativar uma asserção em produção pode expor dados privados, como chaves privadas. Observe que em muitas distribuições Linux NDEBUG não é definido, então assert() em C/C++ será habilitado por padrão para produção nesses ambientes. Pode ser importante usar um mecanismo de asserção diferente ou definir NDEBUG para produção nesses ambientes.

    Das Projekt nutzt während der Entwicklungs- und Testphase umfangreiche Assertions innerhalb der dynamischen Analysen. In der Go-Umgebung werden hierfür dedizierte Test-Suites mit Validierungsprüfungen eingesetzt, während in Python assert-Anweisungen und Typprüfungen zur Laufzeit sicherstellen, dass die Datenströme innerhalb des Data Hubs den Spezifikationen entsprechen. Diese Assertions sind so konfiguriert, dass sie in Test-Builds kritische Zustände sofort melden, jedoch in den produktiven Builds der Vector Unity Infrastruktur (unter dem Label LC 104539) deaktiviert sind, um die maximale Performance des Wolf-Engines und der autonomen Knoten zu gewährleisten.



    Todas as vulnerabilidades exploráveis de severidade média e superior descobertas com análise dinâmica de código DEVEM ser corrigidas em tempo hábil após serem confirmadas. [dynamic_analysis_fixed]
    Se você não está executando análise dinâmica de código e, portanto, não encontrou nenhuma vulnerabilidade dessa forma, escolha "não aplicável" (N/A). Uma vulnerabilidade é considerada de severidade média ou superior se sua pontuação qualitativa base do Common Vulnerability Scoring System (CVSS) for média ou superior. Nas versões 2.0 a 3.1 do CVSS, isso é equivalente a uma pontuação CVSS de 4.0 ou superior. Os projetos podem usar a pontuação CVSS conforme publicada em um banco de dados de vulnerabilidades amplamente utilizado (como o National Vulnerability Database) usando a versão mais recente do CVSS relatada nesse banco de dados. Os projetos podem, em vez disso, calcular a severidade por conta própria usando a versão mais recente do CVSS no momento da divulgação da vulnerabilidade, se as entradas de cálculo forem reveladas publicamente assim que a vulnerabilidade for conhecida publicamente.

    Das Projekt verpflichtet sich zur sofortigen Behebung aller durch dynamische Analysen identifizierten und bestätigten Sicherheitslücken mittlerer oder höherer Schwere. Ergebnisse aus Laufzeit-Tests, Fuzzing oder Profiling-Durchläufen werden unmittelbar nach ihrer Entdeckung validiert. Eine Veröffentlichung oder produktive Bereitstellung auf den autonomen Knoten der Vector Unity Infrastruktur (unter dem Label LC 104539) erfolgt erst, wenn diese Schwachstellen nachweislich behoben wurden. Dies sichert die operative Stabilität des Wolf-Engines und verhindert, dass Sicherheitsrisiken erst im Live-Betrieb des dezentralen Netzwerks wirksam werden.



Estes dados estão disponíveis sob o Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0). Isso significa que um Destinatário de Dados pode compartilhar os Dados, com ou sem modificações, desde que o Destinatário de Dados disponibilize o texto deste acordo com os Dados compartilhados. Por favor, dê crédito a Vitalij Wolf e aos contribuidores do selo de melhores práticas OpenSSF.

Entrada de selo do projeto de propriedade de: Vitalij Wolf.
Entrada criada em 2026-05-08 23:50:40 UTC, última atualização em 2026-05-10 20:46:48 UTC. Selo de aprovação alcançado pela última vez em 2026-05-10 20:46:48 UTC.