SGO - Sistema de Gestao Operacional

Проекты, которые следуют приведенным ниже лучшим практикам, могут добровольно и самостоятельно оценить себя и продемонстрировать, что они получили значок Open Source Security Foundation (OpenSSF).

Не существует набора практик, гарантирующего, что у программного обеспечения никогда не будет недостатков или уязвимостей; даже формальные методы могут не помочь, если спецификации или допущения ошибочны. Также не существует какой-либо практики, которая могла бы гарантировать, что проект будет поддерживать здоровое и хорошо функционирующее сообщество разработчиков. Однако следующие хорошие правила могут помочь улучшить результаты проектов. Например, некоторые правила описывают ревью несколькими участниками перед выпуском, что может помочь найти технические уязвимости, которые было бы сложно найти другим способом, и помочь построить доверие и желание дальнейшего взаимодействия между разработчиками из разных компаний. Чтобы получить значок, нужно выполнить все критерии с ключевыми словами "НЕОБХОДИМО"/"ОБЯЗАН"/"НЕДОПУСТИМО", все критерии со словом "СЛЕДУЕТ" либо должны удовлетворяться, либо должно быть приведено обоснование их невыполнения, и все критерии со словом "ЖЕЛАТЕЛЬНО" могут быть удовлетворены ИЛИ неудовлетворены (желательно, чтобы они были хотя бы рассмотрены). Если вы хотите ввести общий комментарий вместо объяснения, почему текущая ситуация приемлема, начните текст с '//' и пробела. Приветствуется обратная связь через сайт на GitHub в виде issues или pull requests. Существует также список рассылки для общих вопросов.

Мы с удовольствием предоставляем информацию на нескольких языках, однако, если есть какой-либо конфликт или несоответствие между переводами, английская версия является авторитетной.
Если это ваш проект, пожалуйста, отобразите статус вашего базового значка на странице проекта! Статус базового значка выглядит так: Базовый уровень значка для проекта 12038 - baseline-3 Вот как встроить базовый значок:
Вы можете показать статус базового значка, вставив это в ваш файл markdown:
[![OpenSSF Baseline](https://www.bestpractices.dev/projects/12038/baseline)](https://www.bestpractices.dev/projects/12038)
или вставив это в ваш HTML:
<a href="https://www.bestpractices.dev/projects/12038"><img src="https://www.bestpractices.dev/projects/12038/baseline"></a>


Это критерии Базового Уровня 1. Эти критерии относятся к базовой версии v2025.10.10 с обновлённым текстом критериев из версии v2026.02.19. Критерии, новые в версии v2026.02.19, помечены как «будущие» и начнут применяться с 2026-06-01. Пожалуйста, предоставьте ответы на «будущие» критерии до этой даты.

Baseline Series: Базовый уровень 1 Базовый Уровень 2 Базовый Уровень 3

        

 Основы

  • Общая

    Обратите внимание, что другие проекты могут использовать то же имя.

    SGO - Sistema de Gestao Operacional | Open-source Micro-SaaS platform with Module Federation, Docker Swarm & Traefik

    Plataforma open-source de gestão para micro empresas. Chassi pronto (autenticação, usuários, permissões, whitelabel) + módulos de negócio que você adiciona no seu ritmo. Sem lock-in: o sistema pode ficar no seu servidor, sob sua marca.

    Используйте формат выражения лицензии SPDX; примеры включают «Apache-2.0», «BSD-2-Clause», «BSD-3-Clause», «GPL-2.0+», «LGPL-3.0+», «MIT» и «(BSD-2-Clause OR Ruby)».
    Если используется более одного языка, перечислите их через запятую (пробелы необязательны), и отсортируйте их от наиболее до наименее используемого. Если список длинный, пожалуйста, перечислите по крайней мере три наиболее распространенных. Если языка нет (например, это проект только для документации или только для тестирования), используйте один символ «-» (минус). Для каждого языка используйте общепринятую капитализацию названия, например «JavaScript».
    Common Platform Enumeration (CPE) - это структурированная схема именования для информационных систем, программного обеспечения и пакетов. Она используется в ряде систем и баз данных для отчетов об уязвимостях.

    Plataforma open-source de gestão para micro empresas. Chassi pronto (autenticação, usuários, permissões, whitelabel) + módulos de negócio que você adiciona no seu ritmo. Sem lock-in: o sistema pode ficar no seu servidor, sob sua marca.

    Para quem implanta: sistema profissional, validado, que fica com o cliente após a implantação.
    Para integradores e devs: base documentada, Module Federation, guias para criar módulos (incluindo uso com IA).

 Элементы управления 24/25

  • Элементы управления


    Достаточно для значка!

    Когда пользователь пытается прочитать или изменить чувствительный ресурс в авторитетном репозитории проекта, система ДОЛЖНА требовать от пользователя прохождения процесса многофакторной аутентификации. [OSPS-AC-01.01]
    Обеспечьте многофакторную аутентификацию для системы контроля версий проекта, требуя от соавторов предоставления второй формы аутентификации при доступе к конфиденциальным данным или изменении настроек репозитория. Для этой меры приемлемы passkeys (ключи доступа).

    O GitHub exige 2FA desde março de 2023.


    Достаточно для значка!

    При добавлении нового соавтора система контроля версий ДОЛЖНА требовать ручного назначения прав доступа или по умолчанию ограничивать права доступа соавтора до минимально доступных привилегий. [OSPS-AC-02.01]
    Большинство публичных систем контроля версий настроены таким образом. Убедитесь, что система контроля версий проекта всегда назначает минимально доступные права доступа соавторам по умолчанию при добавлении, предоставляя дополнительные права доступа только при необходимости.

    O GitHub exige autenticação para todos os colaboradores. Cada commit é associado à conta GitHub do autor (identidade verificada). Não é possível commitar anonimamente no repositório. https://github.com/altrsconsult/sgo


    Достаточно для значка!

    При попытке прямого коммита в основную ветку проекта механизм принудительного исполнения ДОЛЖЕН предотвращать применение изменения. [OSPS-AC-03.01]
    Если VCS централизована, установите защиту ветки на основную ветку в VCS проекта. В качестве альтернативы используйте децентрализованный подход, как в ядре Linux, где изменения сначала предлагаются в другом репозитории, а слияние изменений в основной репозиторий требует специального отдельного действия.

    O processo exige PRs para merges na branch principal (DEVELOPMENT-AND-RELEASE.md). Branch protection configurada no repositório (Settings → Branches). DEVELOPMENT-SECURITY.md: "Merges para a branch principal exigem status verde no CI". https://github.com/altrsconsult/sgo/blob/master/docs/processes/DEVELOPMENT-AND-RELEASE.md


    Достаточно для значка!

    Когда предпринимается попытка удалить основную ветку проекта, система контроля версий ОБЯЗАНА рассматривать это как деликатное действие и требовать явного подтверждения намерения. [OSPS-AC-03.02]
    Установите защиту ветки на основную ветку в системе контроля версий проекта для предотвращения удаления.

    A branch protection do GitHub está configurada na branch master/main do repositório altrsconsult/sgo, impedindo exclusão acidental ou intencional da branch principal. https://github.com/altrsconsult/sgo


    Достаточно для значка!

    Когда конвейер CI/CD принимает входной параметр, этот параметр ОБЯЗАН быть очищен и проверен перед использованием в конвейере. [OSPS-BR-01.01]
    Конвейеры CI/CD должны санировать (заключать в кавычки, экранировать или завершаться при ожидаемых значениях) все входные метаданные, соответствующие недоверенным источникам. Это включает такие данные, как имена веток, сообщения коммитов, теги, заголовки запросов на слияние и информацию об авторах.

    Os workflows GitHub Actions (.github/workflows/) são acionados por eventos do GitHub (push, pull_request) com contextos controlados. Não há parâmetros de entrada livres sem validação. O workflow docker.yml usa path filters seguros.


    Не хватает обязательной информации, недостаточно для значка.

    (Будущий критерий) Когда конвейер CI/CD работает с недоверенными снимками кода, он ДОЛЖЕН запрещать доступ к привилегированным учётным данным и ресурсам CI/CD. [OSPS-BR-01.03]
    Конвейеры CI/CD должны изолировать недоверенные снимки кода от привилегированных учётных данных и ресурсов. В частности, проекты должны следить за тем, чтобы рабочие процессы, выполняющие сборку или запуск кода до его проверки коллаборатором, не имели доступа к учётным данным CI/CD.

    Достаточно для значка!

    Когда проект указывает URI как официальный канал проекта, этот URI ОБЯЗАН передаваться исключительно с использованием зашифрованных каналов. [OSPS-BR-03.01]
    Настройте веб-сайты и системы контроля версий проекта на использование зашифрованных каналов, таких как SSH или HTTPS для передачи данных. Убедитесь, что все инструменты и домены, на которые ссылается документация проекта, доступны только через зашифрованные каналы.

    Project URLs use HTTPS exclusively.


    Достаточно для значка!

    Когда проект указывает URI как официальный канал распространения, этот URI ОБЯЗАН передаваться исключительно с использованием зашифрованных каналов. [OSPS-BR-03.02]
    Настройте конвейер выпуска проекта так, чтобы он получал данные только с веб-сайтов, API-ответов и других служб, которые используют зашифрованные каналы, такие как SSH или HTTPS для передачи данных.

    Distribution channels use HTTPS exclusively.


    Достаточно для значка!

    Проект ОБЯЗАН предотвращать непреднамеренное сохранение незашифрованных конфиденциальных данных, таких как секреты и учетные данные, в системе контроля версий. [OSPS-BR-07.01]
    Настройте .gitignore или эквивалент для исключения файлов, которые могут содержать конфиденциальную информацию. Используйте pre-commit хуки и автоматизированные инструменты сканирования для обнаружения и предотвращения включения конфиденциальных данных в коммиты.

    .gitignore exclui arquivos .env e outros arquivos sensíveis. CI executa Gitleaks (scan de secrets) em todo push/PR — findings bloqueiam o pipeline. DEVELOPMENT-SECURITY.md documenta o processo. https://github.com/altrsconsult/sgo/blob/master/.gitignore


    Достаточно для значка!

    Когда проект сделал релиз, документация проекта ОБЯЗАНА включать руководства пользователя для всего базового функционала. [OSPS-DO-01.01]
    Создайте руководства пользователя или документацию для всего базового функционала проекта, объясняющие, как устанавливать, настраивать и использовать возможности проекта. Если есть какие-либо известные опасные или деструктивные действия, включите хорошо заметные предупреждения.

    Documentação de uso: README.md (quick start), docs/guides/DEPLOY.md (produção), docs/AGENTS.md (visão geral e API), docs/guides/CREATE-MODULE.md (módulos). Cobre todas as funcionalidades básicas do chassi v4.0.0. https://github.com/altrsconsult/sgo/blob/master/docs/guides/DEPLOY.md


    Достаточно для значка!

    Когда проект сделал релиз, документация проекта ОБЯЗАНА включать руководство по сообщению о дефектах. [OSPS-DO-02.01]
    Рекомендуется, чтобы проекты использовали трекер задач по умолчанию в их системе контроля версий. Если используется внешний источник, убедитесь, что документация проекта и руководство по внесению вклада четко и заметно объясняют, как использовать систему сообщения об ошибках. Рекомендуется, чтобы документация проекта также устанавливала ожидания относительно того, как дефекты будут сортироваться и решаться.

    O GitHub fornece mecanismos de relatório de defeitos por padrão (via issues).


    Достаточно для значка!

    Пока проект активен, он ОБЯЗАН иметь один или несколько механизмов для публичных обсуждений предлагаемых изменений и препятствий в использовании. [OSPS-GV-02.01]
    Создайте один или несколько механизмов для публичных обсуждений в рамках проекта, таких как списки рассылки, мгновенные сообщения или трекеры задач, чтобы облегчить открытое общение и обратную связь.

    O GitHub suporta discussões públicas sobre mudanças propostas (via pull requests) e obstáculos de uso (via issues).


    Достаточно для значка!

    Пока проект активен, документация проекта ОБЯЗАНА включать объяснение процесса внесения вклада. [OSPS-GV-03.01]
    Создайте файл CONTRIBUTING.md или директорию CONTRIBUTING/ для описания процесса внесения вклада, включая шаги для отправки изменений и взаимодействия с сопровождающими проекта.

    Processo de contribuição documentado no repositório.


    Достаточно для значка!

    Пока проект активен, лицензия на исходный код ОБЯЗАНА соответствовать определению Open Source от OSI или определению свободного программного обеспечения от FSF. [OSPS-LE-02.01]
    Добавьте файл LICENSE в репозиторий проекта с лицензией, которая является одобренной лицензией Open Source Initiative (OSI), или свободной лицензией, одобренной Фондом свободного программного обеспечения (FSF). Примеры таких лицензий включают MIT, BSD 2-clause, BSD 3-clause revised, Apache 2.0, Lesser GNU General Public License (LGPL) и GNU General Public License (GPL). Выпуск в публичное достояние соответствует этому контролю, если нет других ограничений, таких как патенты.

    A licença MIT para o conteúdo do repositório é aprovada pela Open Source Initiative (OSI).


    Достаточно для значка!

    Пока активен, лицензия для выпущенных программных активов ОБЯЗАНА соответствовать определению открытого ПО по OSI или определению свободного ПО по FSF. [OSPS-LE-02.02]
    Если с выпущенными программными активами включена другая лицензия, убедитесь, что это одобренная лицензия Open Source Initiative (OSI) или свободная лицензия, одобренная Free Software Foundation (FSF). Примеры таких лицензий включают MIT, BSD 2-clause, BSD 3-clause revised, Apache 2.0, Lesser GNU General Public License (LGPL) и GNU General Public License (GPL). Обратите внимание, что лицензия для выпущенных программных активов может отличаться от лицензии для исходного кода.

    Os ativos de software lançados (imagens Docker ghcr.io/altrsconsult/ e código-fonte) estão sob licença MIT, aprovada pela OSI. A licença está em LICENSE na raiz e documentada em docs/legal/LICENSE-pt-BR.md. https://github.com/altrsconsult/sgo/blob/master/LICENSE


    Достаточно для значка!

    Пока активен, лицензия для исходного кода ОБЯЗАНА поддерживаться в файле LICENSE, файле COPYING или директории LICENSE/ соответствующего репозитория. [OSPS-LE-03.01]
    Включите лицензию исходного кода проекта в файл LICENSE проекта, файл COPYING или директорию LICENSE/, чтобы обеспечить видимость и ясность условий лицензирования. Имя файла МОЖЕТ иметь расширение. Если у проекта несколько репозиториев, убедитесь, что каждый репозиторий включает файл лицензии.

    Arquivo de licença encontrado no repositório.


    Достаточно для значка!

    Пока активен, лицензия для выпущенных программных активов ОБЯЗАНА быть включена в выпущенный исходный код или в файл LICENSE, файл COPYING или директорию LICENSE/ рядом с соответствующими выпущенными активами. [OSPS-LE-03.02]
    Включите лицензию выпущенных программных активов проекта в выпущенный исходный код или в файл LICENSE, файл COPYING или директорию LICENSE/ рядом с соответствующими выпущенными активами, чтобы обеспечить видимость и ясность условий лицензирования. Имя файла МОЖЕТ иметь расширение. Если у проекта несколько репозиториев, убедитесь, что каждый репозиторий включает файл лицензии.

    O arquivo LICENSE (MIT) está na raiz do repositório e é incluído nos artefatos lançados. Tradução informacional em docs/legal/LICENSE-pt-BR.md. As imagens Docker são buildadas a partir do código-fonte que contém a licença. https://github.com/altrsconsult/sgo/blob/master/LICENSE


    Достаточно для значка!

    Пока активен, репозиторий исходного кода проекта ОБЯЗАН быть общедоступным для чтения по статическому URL. [OSPS-QA-01.01]
    Используйте общую систему контроля версий (VCS), такую как GitHub, GitLab или Bitbucket. Убедитесь, что репозиторий доступен для публичного чтения. Избегайте дублирования или зеркалирования репозиториев, если только хорошо видимая документация не разъясняет первичный источник. Избегайте частых изменений репозитория, которые могут повлиять на URL репозитория. Убедитесь, что репозиторий публичный.

    O repositório está disponível publicamente no GitHub.


    Достаточно для значка!

    Система контроля версий ОБЯЗАНА содержать общедоступную запись всех внесенных изменений, кто внес изменения и когда были внесены изменения. [OSPS-QA-01.02]
    Используйте общую VCS, такую как GitHub, GitLab или Bitbucket, для поддержания публично доступной истории коммитов. Избегайте сжатия или перезаписи коммитов таким образом, чтобы это скрывало автора любых коммитов.

    Os metadados git do repositório estão disponíveis publicamente no GitHub.


    Достаточно для значка!

    Когда система управления пакетами это поддерживает, репозиторий исходного кода ОБЯЗАН содержать список зависимостей, учитывающий прямые языковые зависимости. [OSPS-QA-02.01]
    Это может быть в виде файла менеджера пакетов или файла языковых зависимостей, перечисляющего все прямые зависимости, такие как package.json, Gemfile или go.mod.

    pnpm-lock.yaml na raiz do repositório fixa as versões exatas de todas as dependências diretas e transitivas. Cada pacote tem também seu package.json com as versões declaradas. https://github.com/altrsconsult/sgo/blob/master/pnpm-lock.yaml


    Достаточно для значка!

    Пока активна, документация проекта ОБЯЗАНА содержать список всех кодовых баз, которые считаются подпроектами. [OSPS-QA-04.01]
    Документируйте любые дополнительные репозитории кода подпроектов, создаваемые проектом и компилируемые в выпуск. Эта документация должна включать статус и назначение соответствующей кодовой базы.

    docs/AGENTS.md lista todas as bases de código do monorepo: chassi/frontend, chassi/backend, nexus (esqueleto), modules/boilerplate, packages/ui, packages/sdk. README.md referencia a mesma estrutura. https://github.com/altrsconsult/sgo/blob/master/docs/AGENTS.md


    Достаточно для значка!

    Пока активна, система контроля версий НЕ ДОЛЖНА содержать сгенерированные исполняемые артефакты. [OSPS-QA-05.01]
    Удалите сгенерированные исполняемые артефакты из системы контроля версий проекта. Рекомендуется, чтобы в любом сценарии, где сгенерированный исполняемый артефакт является критическим для процесса, такого как тестирование, он должен вместо этого генерироваться во время сборки или храниться отдельно и загружаться во время определенного хорошо задокументированного этапа конвейера.

    .gitignore exclui dist/, node_modules/, build/ e outros artefatos gerados. O repositório contém apenas código-fonte, configurações e documentação — sem executáveis compilados ou artefatos de build. https://github.com/altrsconsult/sgo/blob/master/.gitignore


    Достаточно для значка!

    Пока активна, система контроля версий НЕ ДОЛЖНА содержать непроверяемые бинарные артефакты. [OSPS-QA-05.02]
    Не добавляйте никакие непроверяемые бинарные артефакты в систему контроля версий проекта. Это включает исполняемые бинарные файлы приложений, файлы библиотек и аналогичные артефакты. Это не включает такие активы, как графические изображения, звуковые или музыкальные файлы и подобный контент, обычно хранящийся в бинарном формате.

    O repositório contém apenas código-fonte (TypeScript, JSON, YAML, Markdown, Dockerfile). Não há artefatos binários não revisáveis (executáveis, arquivos .jar, .dll, etc.). Imagens Docker são construídas no CI, não armazenadas no repo.


    Достаточно для значка!

    Пока активна, документация проекта ОБЯЗАНА содержать контакты по вопросам безопасности. [OSPS-VM-02.01]
    Создайте файл security.md (или с аналогичным именем), который содержит контакты по вопросам безопасности для проекта.

    docs/security/SECURITY.md contém contatos de segurança: e-mail contato@altrs.com.br e GitHub Security Advisories. Arquivo dedicado na pasta docs/security/. https://github.com/altrsconsult/sgo/blob/master/docs/security/SECURITY.md


    Достаточно для значка!

    (Устаревший критерий) Когда конвейер CI/CD использует имя ветки в своей функциональности, это значение имени ОБЯЗАНО быть очищено и проверено перед использованием в конвейере. [OSPS-BR-01.02]

    Os workflows usam referências do contexto GitHub (${{ github.ref_name }}, ${{ github.sha }}) providas pela própria plataforma GitHub Actions, não por inputs externos não sanitizados. https://github.com/altrsconsult/sgo/tree/master/.github/workflows



Эти данные доступны по лицензии Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0). Это означает, что получатель данных может распространять данные с изменениями или без них, при условии, что получатель данных предоставляет текст данного соглашения вместе с распространяемыми данными. Пожалуйста, укажите в качестве источника Alesso и участников OpenSSF Best Practices badge.

Владелец анкеты на значок проекта: Alesso.
2026-02-25 17:23:17 UTC, последнее изменение сделано 2026-02-25 18:26:41 UTC. Последний раз условия для получения значка были выполнены 2026-02-25 17:55:06 UTC.