Physical AI Toolchain

Проекты, которые следуют приведенным ниже лучшим практикам, могут добровольно и самостоятельно оценить себя и продемонстрировать, что они получили значок Open Source Security Foundation (OpenSSF).

Не существует набора практик, гарантирующего, что у программного обеспечения никогда не будет недостатков или уязвимостей; даже формальные методы могут не помочь, если спецификации или допущения ошибочны. Также не существует какой-либо практики, которая могла бы гарантировать, что проект будет поддерживать здоровое и хорошо функционирующее сообщество разработчиков. Однако следующие хорошие правила могут помочь улучшить результаты проектов. Например, некоторые правила описывают ревью несколькими участниками перед выпуском, что может помочь найти технические уязвимости, которые было бы сложно найти другим способом, и помочь построить доверие и желание дальнейшего взаимодействия между разработчиками из разных компаний. Чтобы получить значок, нужно выполнить все критерии с ключевыми словами "НЕОБХОДИМО"/"ОБЯЗАН"/"НЕДОПУСТИМО", все критерии со словом "СЛЕДУЕТ" либо должны удовлетворяться, либо должно быть приведено обоснование их невыполнения, и все критерии со словом "ЖЕЛАТЕЛЬНО" могут быть удовлетворены ИЛИ неудовлетворены (желательно, чтобы они были хотя бы рассмотрены). Если вы хотите ввести общий комментарий вместо объяснения, почему текущая ситуация приемлема, начните текст с '//' и пробела. Приветствуется обратная связь через сайт на GitHub в виде issues или pull requests. Существует также список рассылки для общих вопросов.

Мы с удовольствием предоставляем информацию на нескольких языках, однако, если есть какой-либо конфликт или несоответствие между переводами, английская версия является авторитетной.
Если это ваш проект, пожалуйста, покажите свой значок на странице проекта! Статус значка выглядит следующим образом: Уровень значка для проекта 12195 - passing Вот как вставить его:
Вы можете показать свой статус значка, вставив его в файл с разметкой Markdown:
[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/12195/badge)](https://www.bestpractices.dev/projects/12195)
- или HTML:
<a href="https://www.bestpractices.dev/projects/12195"><img src="https://www.bestpractices.dev/projects/12195/badge"></a>


Это критерии уровня Passing. Вы также можете просмотреть критерии уровня Silver или Gold.

Baseline Series: Базовый уровень 1 Базовый Уровень 2 Базовый Уровень 3

        

 Основы 13/13

  • Общая

    Обратите внимание, что другие проекты могут использовать то же имя.

    Physical AI Toolchain is an open-source, production-ready framework that integrates Microsoft Azure (https://azure.microsoft.com/) cloud services with NVIDIA's (https://developer.nvidia.com/) physical AI stack, accelerating robotics and physical AI developers to automate and scale data curation, augmentation, and evaluation across perception, mobility, imitation learning, and reinforcement learning pipelines.

    Используйте формат выражения лицензии SPDX; примеры включают «Apache-2.0», «BSD-2-Clause», «BSD-3-Clause», «GPL-2.0+», «LGPL-3.0+», «MIT» и «(BSD-2-Clause OR Ruby)».
    Если используется более одного языка, перечислите их через запятую (пробелы необязательны), и отсортируйте их от наиболее до наименее используемого. Если список длинный, пожалуйста, перечислите по крайней мере три наиболее распространенных. Если языка нет (например, это проект только для документации или только для тестирования), используйте один символ «-» (минус). Для каждого языка используйте общепринятую капитализацию названия, например «JavaScript».
    Common Platform Enumeration (CPE) - это структурированная схема именования для информационных систем, программного обеспечения и пакетов. Она используется в ряде систем и баз данных для отчетов об уязвимостях.

  • Основная информация на веб-сайте проекта


    Достаточно для значка!

    Веб-сайт проекта ОБЯЗАН кратко описывать, что делает программное обеспечение (какую проблему решает?). [description_good]
    Описание ОБЯЗАНО быть на языке, который могут понять потенциальные пользователи (например, с минимумом жаргона).

    Toolchain is an open-source, production-ready framework that integrates Microsoft Azure cloud services with NVIDIA's physical AI stack to enable scalable training, simulation, and deployment of robotic AI models." The description explains what the project does, its target domain (robotics AI), and how it relates to Azure and NVIDIA infrastructure. Five CI status badges are displayed at the top for immediate project health visibility.

    Evidence:


    Достаточно для значка!

    Веб-сайт проекта ОБЯЗАН предоставлять информацию о том, как: получать и предоставлять обратную связь (например, отчеты об ошибках или улучшения) и вносить свой вклад в программное обеспечение. [interact]

    Multiple interaction channels are documented and accessible. CONTRIBUTING.md provides the contribution workflow (fork, branch, PR). SUPPORT.md documents a 4-tier response SLA (Security: 24h, Critical: 1-2 business days, Major: 3-5 business days, General: 14 business days). GitHub Issues are enabled with 7 structured issue templates (.github/ISSUE_TEMPLATE/) covering bug reports, feature requests, documentation issues, security reports, and infrastructure requests. GitHub Discussions are enabled for community questions and announcements.

    Evidence:


    Достаточно для значка!

    В описании того, как сделать вклад, НЕОБХОДИМО объяснить процесс внесения вклада (например, используются ли pull request'ы). (Требуется URL) [contribution]
    Мы предполагаем, что проекты на GitHub используют issues и pull requests, если не указано иное. Описание может быть кратким, например, указывать, что проект использует pull requests, issue tracker или сообщения в список рассылки (какой?).

    CONTRIBUTING.md provides a comprehensive contribution guide with fork-and-clone workflow, branch naming conventions (feat/, fix/, docs/, chore/), pull request process with review checklist, required Conventional Commits format, 12 specialized sub-guides for different contribution areas, explicit testing requirements (new features need tests, bug fixes need regression tests, ≥50% of bug fix PRs must include regression tests), and code style enforcement via automated linting. The document also references the Microsoft CLA, Code of Conduct, and Sigstore gitsign keyless signing for release tags.

    Evidence:


    Достаточно для значка!

    В информацию о том, как внести вклад, СЛЕДУЕТ включать требования к приемлемым взносам (например, ссылку на любой требуемый стандарт кодирования). (Требуется URL) [contribution_requirements]

    CONTRIBUTING.md clearly documents all contribution requirements: Conventional Commits message format (feat:, fix:, docs:, chore:, etc.), branch naming using category prefixes, testing policy requiring tests for new features and regression tests for bug fixes (≥50% of bug fix PRs must include regression tests), coding standards enforced by Ruff (Python), markdownlint (Markdown), PSScriptAnalyzer (PowerShell), yaml-lint (YAML), and cspell (spelling). The PR template and 16-job pr-validation.yml CI pipeline automatically enforce these requirements on every PR.

    Evidence:


  • Свободная лицензия


    Достаточно для значка!

    ПО, создаваемое проектом, ОБЯЗАНО быть выпущено под свободной лицензией. [floss_license]
    Свободное ПО (далее СПО) - это программное обеспечение, которое соответствует Определению Открытого ПО (официальный текст на англ.) или Определению Свободного Программного Обеспечения. Примеры таких лицензий включают CC0, MIT, BSD 2-Clause, BSD 3-Clause, Apache 2.0, Меньшая стандартная общественная лицензия GNU (LGPL) и Стандартная общественная лицензия GNU (GPL). Для наших целей это означает, что лицензия ОБЯЗАНА быть: ПО МОЖЕТ одновременно лицензироваться на других условиях (например, приемлема комбинация «GPLv2 или закрытая лицензия»).

    The project is released under the MIT License, one of the most permissive FLOSS licenses. The LICENSE file in the repository root contains the full MIT License text with copyright held by Microsoft Corporation. MIT License permits use, copy, modify, merge, publish, distribute, sublicense, and sell copies of the software, meeting all FLOSS requirements.

    Evidence:


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО, чтобы все лицензии для ПО, создаваемого проектом, были одобрены Open Source Initiative (OSI). [floss_license_osi]
    Для одобрения OSI используется строгий процесс, чтобы определить, какие лицензии соответствуют Открытому ПО.

    The MIT License is approved by the Open Source Initiative (OSI) and listed on their approved license page. It is one of the most widely used OSI-approved licenses in the open-source ecosystem.

    Evidence:


    Достаточно для значка!

    Проект ОБЯЗАН публиковать лицензию или лицензии своих результатов в стандартном расположении в своем репозитории исходного кода. (Требуется URL) [license_location]
    Например, в качестве файла верхнего уровня с именем LICENSE или COPYING. Имена файлов лицензии МОГУТ сопровождаться расширением, таким как «.txt» или «.md». Другим соглашением может быть наличие каталога с именем LICENSES, содержащего файлы лицензий; имена этих файлов обычно соответствуют SPDX-идентификатору лицензии, за которым следует соответствующее расширение файла, как описано в спецификации REUSE . Обратите внимание, что этот критерий является обязательным только для репозитория с исходным кодом. Вам НЕ нужно включать файл лицензии при генерации чего-либо из исходного кода (например, исполняемого файла, пакета или контейнера). Например, при создании пакета R для Comprehensive R Archive Network (CRAN) рекомендуется следовать стандартной практике CRAN: если лицензия является стандартной, используйте стандартную короткую спецификацию лицензии (чтобы избежать установки еще одной копии текста) и добавьте файл LICENSE в списке исключений, например .Rbuildignore. Аналогично, при создании пакета Debian вы можете поместить в файл copyright ссылку на текст лицензии в /usr/share/common-licenses и исключить файл лицензии из созданного пакета (например, удаляя файл после вызова dh_auto_install). Мы рекомендуем включать машиночитаемую информацию о лицензии в сгенерированных форматах, где это возможно.

    automatically detected by GitHub's license detection system. GitHub displays the license type (MIT) in the repository sidebar. The README.md also references the license. Additionally, copyright-headers.yml CI workflow enforces "Copyright (c) Microsoft Corporation" headers in all TypeScript, JavaScript, and CSS source files under docs/docusaurus/src/.

    Evidence:


  • Документация


    Достаточно для значка!

    Проект ОБЯЗАН предоставлять базовую документацию для программного обеспечения, создаваемого проектом. [documentation_basics]
    Эта документация должна быть в некоторых формах (таких как текст или видео), которые включают в себя: как установить программное обеспечение, как его запустить, как его использовать (возможно, с помощью учебника с примерами) и как использовать его безопасно (например, что делать и чего не делать), если эти темы применимы для данного программного обеспечения. Документация по безопасности не обязательно должна быть длинной. Проект МОЖЕТ использовать гипертекстовые ссылки для не-проектных материалов в качестве документации. Если проект не создает программное обеспечение, выберите «неприменимо» (N/A).

    Comprehensive documentation is provided across multiple levels. README.md covers project overview, quick start, architecture overview, and links to all documentation areas. The docs/ directory contains 8 topic areas: getting-started/, contributing/, deploy/, training/, inference/, operations/, security/, and reference/. Each major component has its own README (deploy/README.md, scripts/README.md, config/README.md, src/training/README.md, src/dataviewer/README.md). The docs/contributing/ directory includes architecture.md, ROADMAP.md, prerequisites.md, deployment-validation.md, cost-considerations.md, and security-review.md. Documentation is also published via Docusaurus to GitHub Pages with automated testing via docusaurus-tests.yml.

    Evidence:


    Достаточно для значка!

    Проект ОБЯЗАН предоставлять справочную документацию, описывающую внешний интерфейс (как входной, так и выходной) программного обеспечения, создаваемого проектом. [documentation_interface]
    Документация внешнего интерфейса объясняет конечному пользователю или разработчику, как его использовать. Это может включать в себя интерфейс прикладного программирования (API), если программное обеспечение его имеет. Если это библиотека, документируйте основные классы/типы и методы/функции, которые можно вызвать. Если это веб-приложение, определите его URL-интерфейс (часто его интерфейс REST). Если это интерфейс командной строки, документируйте параметры и настройки, которые он поддерживает. Во многих случаях лучше всего, если большая часть этой документации будет автоматически сгенерирована, чтобы эта документация была синхронизирована с программным обеспечением по мере его изменения, но это не требуется. Проект МОЖЕТ использовать гипертекстовые ссылки для не-проектных материалов в качестве документации. Документация МОЖЕТ быть автоматически сгенерирована (там, где это применимо, это часто наилучший способ создания документации). Документация интерфейса REST может быть сгенерирована с использованием Swagger/OpenAPI. Документация по интерфейсу кода МОЖЕТ быть сгенерирована с использованием таких инструментов, как JSDoc (JavaScript), ESDoc (JavaScript), pydoc (Python), devtools (R), pkgdown (R) и Doxygen (многие языки). Просто иметь комментарии в коде реализации недостаточно для выполнения этого критерия; должен быть простой способ увидеть информацию без чтения всего исходного кода. Если проект не создает программное обеспечение, выберите «неприменимо» (N/A).

    External interfaces are documented through multiple mechanisms. docs/reference/scripts.md provides CLI argument references and variable documentation for all submission and deployment scripts. docs/reference/scripts-examples.md provides usage examples. config/recording_config.schema.json is a formal JSON Schema defining the recording configuration interface with property types, descriptions, constraints, and defaults. docs/deprecation-policy.md defines a 90-day deprecation lifecycle with migration templates for interface changes. The Terraform modules document their variables in variables.tf and variables.core.tf with descriptions and types. Shell scripts support --config-preview for interface discovery.

    Evidence:


  • Другое


    Достаточно для значка!

    Сайты проекта (веб-сайт, репозиторий и URL-адреса для загрузки) ОБЯЗАНЫ поддерживать HTTPS с использованием TLS. [sites_https]
    Для выполнения этого критерия требуется, чтобы URL домашней страницы проекта начинался с "https:", а не "http:". Вы можете получить бесплатные сертификаты от проекта Let's Encrypt. Проекты МОГУТ выполнить этот критерий, используя (например) GitHub Pages, GitLab Pages или проектные страницы SourceForge. Если вы поддерживаете HTTP, мы настоятельно рекомендуем перенаправить HTTP-трафик на HTTPS.

    The project is hosted on GitHub.com, which enforces HTTPS for all pages, API endpoints, and Git operations. There is no option to access the repository, issues, wiki, or any GitHub-hosted content via unencrypted HTTP — GitHub enforces TLS 1.2+ on all connections. The Docusaurus documentation site is deployed to GitHub Pages, which also enforces HTTPS. All URLs referenced in project documentation use HTTPS.

    Evidence:


    Достаточно для значка!

    Проект ОБЯЗАН иметь один или несколько механизмов для обсуждения (включая предлагаемые изменения и проблемы), которые доступны для поиска, позволяют ссылаться на сообщения и темы по URL, позволяют новым людям участвовать в некоторых обсуждениях и не требуют установки на стороне клиента проприетарного программного обеспечения. [discussion]
    Примерами приемлемых механизмов являются архивируемые списки рассылки, обсуждения в GitHub issues и pull requests, Bugzilla, Mantis и Trac. Асинхронные механизмы обсуждения (например, IRC) приемлемы, если они отвечают этим критериям; убедитесь, что есть механизм архивирования URL-адресов. Разрешено, хотя и не рекомендуется, использовать проприетарный JavaScript.

    The project provides multiple discussion channels. GitHub Issues are enabled with 7 structured issue templates covering bug reports, feature requests, documentation issues, security vulnerability reports, and infrastructure requests. Each template includes pre-defined labels and placeholder guidance. GitHub Discussions are enabled for community Q&A and announcements. SUPPORT.md documents response time expectations per severity tier. The README.md links directly to both Issues and Discussions.

    Evidence:


    Достаточно для значка!

    Проекту СЛЕДУЕТ предоставлять документацию на английском языке и иметь возможность принимать отчеты об ошибках и комментарии о коде на английском языке. [english]
    Английский в настоящее время является лингва франка компьютерной техники; Поддержка английского языка увеличивает число потенциальных разработчиков и рецензентов во всем мире. Проект может соответствовать этому критерию, даже если английский не является основным языком его ключевых разработчиков.

    All project documentation, code comments, commit messages, issue templates, CI configuration, and contributor guides are written in English. The README.md, CONTRIBUTING.md, SECURITY.md, SUPPORT.md, GOVERNANCE.md, CHANGELOG.md, and all files under docs/ are in English. Issue templates and PR templates are in English. Conventional Commit messages are in English.

    Evidence:


    Достаточно для значка!

    НЕОБХОДИМО, чтобы проект поддерживался. [maintained]
    Как минимум, проект должен пытаться реагировать на сообщения о серьезных проблемах и уязвимостях. Проект, который активно добивается получения значка, вероятно, и поддерживается тоже. Ресурсы любого проекта и человека ограничены, и обычно проекты будут отклонять некоторые предлагаемые изменения; поэтому ограниченность ресурсов и отклонение предложений сами по себе не указывают на то, что проект не поддерживается.

    Если известно, что проект больше не будет поддерживаться, следует установить для этого критерия значение «Не соответствует» и использовать подходящие механизмы, чтобы указать другим, что он не поддерживается. Например, используйте “DEPRECATED” («УСТАРЕЛ») в качестве первого заголовка в файле README, добавьте “DEPRECATED” в начале его домашней страницы, добавьте “DEPRECATED” в начало описания проекта репозитория кода, добавьте значок об отсутствии поддержки в README проекта и/или домашнюю страницу, пометьте его как устаревший в любых репозиториях пакетов (напр., npm deprecate ) и/или используйте механизм, предоставленный репозиторием кода для его архивирования (например, параметр "archive" у GitHub или пометка "archive" у GitLab, статус «только для чтения» у Gerrit или статус «брошенного» проекта у SourceForge). Дополнительное обсуждение можно найти здесь .

    The project is actively maintained with continuous development through March 2026. Four releases have been published (v0.1.0 through v0.4.0) with the latest in March 2026. Dependabot is configured across 7 ecosystem entries (pip ×4, terraform ×2, github-actions ×1) and actively submits weekly dependency update PRs. The main.yml CI pipeline runs on every push to main, and pr-validation.yml runs on every PR — both show recent successful runs. CODEOWNERS assigns @microsoft/edge-ai-core-dev as required reviewers across all file paths. Weekly scheduled workflows (sha-staleness-check.yml on Mondays, weekly-validation.yml on Mondays for documentation freshness, scorecard.yml on Sundays) run continuously.

    Evidence:


 Управление изменениями 9/9

  • Публичное хранилище исходного кода с поддержкой версий


    Достаточно для значка!

    Проект ОБЯЗАН иметь репозиторий (хранилище) исходного кода с управлением версиями, который является общедоступным и имеет URL. [repo_public]
    URL МОЖЕТ быть таким же, как URL проекта. Проект МОЖЕТ использовать частные (непубличные) ветви в конкретных случаях, когда изменение не выпускается публично (например, для устранения уязвимости до того, как она будет открыта для публики).

    The repository is public on GitHub at https://github.com/microsoft/physical-ai-toolchain. All source code, documentation, infrastructure-as-code, CI/CD workflows, issue templates, and configuration files are publicly visible. The repository settings are configured for public access with no authentication required to view, clone, or fork.

    Evidence:


    Достаточно для значка!

    Проектный репозиторий исходного кода ОБЯЗАН отслеживать, какие изменения были внесены, кто внес изменения и когда изменения были сделаны. [repo_track]

    The project uses Git for version control, which tracks every change with author identity, timestamp, commit message, and full diff. Every file modification is recorded in the Git history. GitHub's web interface provides commit history, blame view, and diff comparison for every file. The project enforces Conventional Commits format (feat:, fix:, docs:, chore:, etc.) via contribution guidelines, providing structured change descriptions.

    Evidence:


    Достаточно для значка!

    Чтобы обеспечить возможность для проверки другими участниками, проектный репозиторий исходного кода ОБЯЗАН включать промежуточные версии для проверки между релизами; НЕДОПУСТИМО хранить в репозитории лишь финальные версии. [repo_interim]
    Проекты МОГУТ опускать отдельные промежуточные версии из своих публичных репозиториев (например, те, которые фиксируют отдельные не обнародованные уязвимости, никогда не будут публично выпущены или включают материалы, которые не могут быть опубликованы на законных основаниях и не находятся в финальной версии).

    All commits are pushed to the public GitHub repository continuously. The PR-based workflow ensures that every change is visible as a pull request before and after merge. Interim work-in-progress is visible through open PRs and feature branches. GitHub's branch protection rules require PR review before merging to main, so all interim states are publicly accessible. There is no private staging or hidden development — all work flows through the public repository.

    Evidence:


    Достаточно для значка!

    Для хранилища проектного исходного кода ЖЕЛАТЕЛЬНО использовать типовое ПО для распределенного управления версиями (например, git). [repo_distributed]
    Не требуется именно git, и проекты могут использовать централизованное программное обеспечение для управления версиями (например, Subversion) с обоснованием.

    Git is a distributed version control system. Every clone of the repository contains the complete history and can function independently. Contributors fork and clone the repository (as documented in CONTRIBUTING.md), work locally, and submit changes via pull requests. There is no single point of failure — any clone contains the full repository history and can serve as a restore point.

    Evidence:


  • Уникальная нумерация версий


    Достаточно для значка!

    Результаты проекта ОБЯЗАНЫ иметь уникальный идентификатор версии для каждой версии, предназначенной для конечных пользователей. [version_unique]
    Это МОЖНО выполнить различными способами, включая идентификаторы коммита (например, идентификатор коммита git или идентификатор набора изменений mercurial) или номер версии (включая номера версий, которые используют семантическое версионирование или схемы на основе даты, такие как YYYYMMDD). 
    Every release has a unique version identifier. Four releases have been published: v0.1.0, v0.2.0, v0.3.0, and v0.4.0. Version numbers are managed by release-please automation, which reads Conventional Commits and bumps versions according to semantic versioning rules. The version is synchronized across pyproject.toml (Python package) and package.json (Node.js tooling) via release-please-config.json. Once a version is released, it is never reused or overwritten.

Evidence:
- https://github.com/microsoft/physical-ai-toolchain/tags
- https://github.com/microsoft/physical-ai-toolchain/blob/main/release-please-config.json
- https://github.com/microsoft/physical-ai-toolchain/blob/main/pyproject.toml
- https://github.com/microsoft/physical-ai-toolchain/blob/main/package.json

    Достаточно для значка!

    Для выпусков ЖЕЛАТЕЛЬНО использовать семантическую либо календарную нумерацию версий. При использовании календарной нумерации к версии ЖЕЛАТЕЛЬНО добавлять микро-компоненту. [version_semver]
    МОЖНО использовать в качестве номеров версий другие схемы нумерации версий, такие как идентификаторы коммитов (например, идентификатор коммита в git или идентификатор набора изменений в mercurial) или схемы на основе даты, такие как YYYYMMDD, поскольку они уникальны. Некоторые альтернативы могут вызвать трудности, поскольку пользователи могут быть не в состоянии легко определить, используют ли они последнюю версию. SemVer может оказаться менее полезным для идентификации версий программного обеспечения, если все получатели используют только последнюю версию (например, это код для одного веб-сайта или интернет-сервиса, который постоянно обновляется с помощью непрерывной доставки).

    Достаточно для значка!

    Проектам ЖЕЛАТЕЛЬНО идентифицировать каждый выпуск в своей системе управления версиями. Например, при использовании git ЖЕЛАТЕЛЬНО идентифицировать каждую версию, используя теги git. [version_tags]

    Every release is tagged in the Git repository with a "v" prefix following the pattern vMAJOR.MINOR.PATCH. Four tags exist: v0.1.0, v0.2.0, v0.3.0, v0.4.0. Tags are created by release-please automation and are cryptographically signed using Sigstore gitsign keyless signing. The verify-tag-signature.yml workflow validates that all release tags are annotated (not lightweight) and carry valid cryptographic signatures. Tag integrity is verified via git tag -v with x509 format.

    Evidence:


  • Примечания к выпуску


    Достаточно для значка!

    Проект ОБЯЗАН предоставлять с каждой выпускаемой версией замечания к выпуску - удобочитаемые человеком сведения об основных изменениях в этом выпуске, помогающие пользователям определить, должны ли они обновляться и какими будут последствия обновления. НЕДОПУСТИМО делать замечания к выпуску сырым выводом журнала управления версиями (например, результаты команды «git log» не являются замечаниями к выпуску). Проекты, результаты которых не предназначены для повторного использования в нескольких местах (например, программное обеспечение для одного веб-сайта или службы) И выдаются через непрерывную доставку (continuous delivery) МОГУТ выбрать «неприменимо» (N/A). (Требуется URL) [release_notes]
    Замечания к выпуску МОГУТ быть реализованы различными способами. Многие проекты предоставляют их в файле с именем «NEWS», «CHANGELOG» или «ChangeLog», возможно с расширениями, такими как «.txt», «.md» или «.html». Исторически термин «журнал изменений» означал журнал для каждого изменения, но для соответствия этим критериям требуется человекочитаемая сводка. Замечания к выпуску МОГУТ вместо этого быть предоставлены механизмами системы контроля версий, такими как процесс GitHub Releases.

    CHANGELOG.md follows the Keep a Changelog format (https://keepachangelog.com/) with Semantic Versioning. Each release entry documents changes categorized by type: Added, Changed, Fixed, Documentation, Refactoring, Performance, Build System, Operations, Chores, Security, and Miscellaneous (dependency bumps). release-please automation generates changelog entries from Conventional Commit messages, ensuring every merged PR with a conventional prefix appears in the release notes. The release-please-config.json maps commit types to changelog sections. GitHub draft releases are also created by the release workflow.

    Evidence:


    Достаточно для значка!

    В замечаниях о выпуске НЕОБХОДИМО упоминать каждую общеизвестную уязвимость, исправленную ​​в каждой новой версии, для которой существует CVE или аналогичная публичная запись. Критерий может быть отмечен как неприменимый (N/A), если у пользователей обычно нет практической возможности обновить данное ПО самостоятельно (это часто относится к, например, обновлениям ядра операционной системы). Если замечаний о выпуске не публиковалось или не было обнародованных уязвимостей, отвечайте "неприменимо". [release_notes_vulns]
    Этот критерий помогает пользователям определить, исправит ли данное обновление общеизвестную уязвимость, чтобы помочь пользователям принять обоснованное решение об обновлении. Если пользователи обычно не могут практически самостоятельно обновлять программное обеспечение на своих компьютерах, а вместо этого должны полагаться на одного или нескольких посредников для выполнения обновления (как это часто бывает с ядром и низкоуровневым программным обеспечением, которое взаимосвязано с ядром), проект вместо этого можно выбрать «Неприменимо», поскольку эта дополнительная информация будет бесполезна для таких пользователей. Аналогично, проект может выбрать «неприменимо» (N/A), если все получатели используют только последнюю версию (например, это код для одного веб-сайта или интернет-службы, который постоянно обновлен при помощи непрерывной доставки). Этот критерий применим только к результатам проекта, а не к его зависимостям. Перечисление уязвимостей всех транзитивных зависимостей проекта становится громоздким, поскольку зависимости увеличиваются и изменяются; и в этом нет необходимости, поскольку инструменты, которые исследуют и отслеживают зависимости, могут делать это более масштабируемым способом.

    No CVEs have been filed against this project to date. However, the release notes infrastructure is in place to document vulnerability fixes when they occur. Security-relevant dependency bumps (e.g., werkzeug, flask, cryptography) are tracked in the CHANGELOG.md under the Miscellaneous/Dependencies section. The release-please-config.json includes a dedicated "security" changelog section mapped to the "security" commit type, ensuring any security fix committed with "security:" prefix appears prominently in release notes. Additionally, GHSA vulnerability remediations are tracked and documented (e.g., PR #271).

    Evidence:


 Отчеты о проблемах 8/8

  • Процесс сообщения об ошибках


    Достаточно для значка!

    Проект ОБЯЗАН предоставить пользователям возможность отправлять сообщения об ошибках (например, используя систему отслеживания ошибок или список рассылки). (Требуется URL) [report_process]

    Users can report bugs and issues via GitHub Issues, which are publicly accessible. The repository provides 7 structured issue templates in .github/ISSUE_TEMPLATE/ covering: bug reports, feature requests, documentation issues, security vulnerability reports, infrastructure requests, and more. Each template includes pre-defined labels, required fields, and guidance text. The process is documented in CONTRIBUTING.md (how to file) and SUPPORT.md (what to expect). Security vulnerabilities have a separate private reporting channel via SECURITY.md.

    Evidence:


    Достаточно для значка!

    СЛЕДУЕТ использовать трекер вопросов (issue tracker) для отслеживания отдельных вопросов. [report_tracker]

    GitHub Issues serves as the project's issue tracker. It is publicly readable, searchable, and filterable. Issues support labels, milestones, and assignees for triage and tracking. The 7 issue templates apply automatic labels for categorization. Closed issues remain in the searchable archive. The tracker is integrated with PRs via GitHub's "Fixes #NNN" linking, providing traceability from bug report to fix.

    Evidence:


    Достаточно для значка!

    Проект ОБЯЗАН подтверждать получение большинства сообщений об ошибках, отправленных за последние 2-12 месяцев (включительно); подтверждение не обязательно включает исправление. [report_responses]

    SUPPORT.md documents explicit response time commitments organized by severity tier: Security Issues — 24 hours (per SECURITY.md), Critical Bugs (data loss, security) — 1-2 business days, Major Issues (significant feature/workflow impact) — 3-5 business days, General Questions and Minor Issues — 14 business days. Issues are actively triaged by the @microsoft/edge-ai-core-dev team (CODEOWNERS). The repository shows consistent response patterns on filed issues.

    Evidence:


    Достаточно для значка!

    Проекту СЛЕДУЕТ реагировать на большинство (>50%) запросов на улучшения в течение последних 2-12 месяцев (включительно). [enhancement_responses]
    В качестве ответа МОЖЕТ быть «нет» или обсуждение выгод от данного улучшения. Цель состоит в том, чтобы по крайней мере на некоторые запросы был какой-то ответ, что указывает на то, что проект все еще жив. Для целей этого критерия не нужно учитывать поддельные запросы (например, от спамеров или автоматизированных систем). Если проект больше не принимает улучшения, выберите «не соответствует» и укажите URL, проясняющий ситуацию для пользователей. Если проект большую часть времени перегружен количеством запросов на улучшения, выберите «не cоответствует» и объясните.

    Feature requests are accepted through GitHub Issues using the dedicated feature request issue template. Enhancement suggestions are tracked via milestones and project boards. SUPPORT.md provides response time expectations. docs/contributing/ROADMAP.md documents the project's planned direction, allowing contributors to see how enhancement requests align with project goals. The CONTRIBUTING.md explains how to propose changes and the review process for new features.

    Evidence:


    Достаточно для значка!

    Проект ОБЯЗАН иметь общедоступный архив для отчетов и ответов для последующего поиска. (Требуется URL) [report_archive]

    GitHub Issues provides a permanent, public, searchable archive of all bug reports. Closed issues are retained indefinitely and remain accessible via search, filters, and direct URL. Issue history (comments, label changes, assignee changes, linked PRs, status transitions) is preserved. The archive is accessible without authentication. Issues can be filtered by label, milestone, date, author, and state (open/closed).

    Evidence:


  • Процесс отчета об уязвимостях


    Достаточно для значка!

    Проект ОБЯЗАН публиковать процесс уведомления об уязвимостях на сайте проекта. (Требуется URL) [vulnerability_report_process]
    Например, четко обозначенный почтовый адрес на https://PROJECTSITE/security, часто в форме security@example.org. Процесс МОЖЕТ быть таким же, как и процесс для отчетов об ошибках. Отчеты об уязвимостях МОГУТ быть всегда общедоступными, но многие проекты имеют приватный механизм для отправки отчетов об уязвимостях.

    SECURITY.md (Microsoft Security Response Center template V0.0.9) provides a clear vulnerability reporting process. Security issues are reported via the Microsoft Security Response Center (MSRC) at https://msrc.microsoft.com/create-report or via email to secure@microsoft.com. The document explains what constitutes a security vulnerability, provides a PGP key for encrypted communication, references the Microsoft Bug Bounty program, and links to the Coordinated Vulnerability Disclosure (CVD) policy. This is the standard Microsoft OSS security reporting process used across thousands of Microsoft repositories.

    Evidence:


    Достаточно для значка!

    Если поддерживаются приватные отчеты об уязвимости, проект ОБЯЗАН включить описание того, как отправлять сведения конфиденциальным способом. (Требуется URL) [vulnerability_report_private]
    Примеры включают приватный отчет о дефектах, отправленный в Интернете с использованием HTTPS (TLS) или электронной почты, зашифрованной с использованием OpenPGP. Если отчеты об уязвимостях всегда являются общедоступными (поэтому нет приватных отчетов об уязвимостях), выберите «неприменимо» (N/A).

    SECURITY.md directs reporters to submit vulnerabilities privately through two channels: (1) the Microsoft Security Response Center portal at https://msrc.microsoft.com/create-report, and (2) email to secure@microsoft.com with optional PGP encryption. The reporter is explicitly instructed NOT to report security vulnerabilities through public GitHub issues. Both channels are confidential — MSRC handles reports under their Coordinated Vulnerability Disclosure (CVD) policy, keeping details private until a fix is available. PGP key download is available at https://aka.ms/security.md/msrc/pgp.

    Evidence:


    Достаточно для значка!

    Проект ОБЯЗАН обеспечивать время первоначального отклика на любой отчет об уязвимости, полученный за последние 6 месяцев, в пределах 14 дней или меньше. [vulnerability_report_response]
    Если за последние 6 месяцев не было обнаружено никаких уязвимостей, выберите «неприменимо» (N/A).

    SECURITY.md commits to a 24-hour initial response for reported security vulnerabilities. SUPPORT.md also documents security issues as the highest priority tier with a 24-hour response SLA. The Microsoft Security Response Center (MSRC) backs this commitment with their global security incident response team providing follow-up through investigation, remediation, and disclosure. The MSRC has a track record of responding to reported vulnerabilities within their published timelines across all Microsoft OSS projects. Additionally, PR #233 adds explicit vulnerability remediation timeline documentation.

    Evidence:


 Качество 13/13

  • Рабочая система сборки


    Достаточно для значка!

    Если программное обеспечение, создаваемое проектом, требует сборки для использования, проект ОБЯЗАН предоставить рабочую систему сборки, которая может автоматически пересобирать программное обеспечение из исходного кода. [build]
    Система сборки определяет, какие действия необходимо предпринять для пересборки программного обеспечения (и в каком порядке), а затем выполняет эти действия. Например, она может вызывать компилятор для компиляции исходного кода. Если исполняемый файл создается из исходного кода, должна иметься возможность изменить исходный код проекта, а затем сгенерировать обновленный исполняемый файл с этими изменениями. Если программное обеспечение, создаваемое проектом, зависит от внешних библиотек, система сборки не обязана пересобирать эти внешние библиотеки. Если для использования программного обеспечения после изменения его исходного кода пересборка не требуется, выберите «неприменимо» (N/A).

    The project uses a reproducible build system. Python packages are built via hatchling (defined in pyproject.toml) with uv as the package manager. The src/training/ package builds into a wheel artifact. Node.js tooling uses npm with package.json and lockfile. Terraform infrastructure is in deploy/001-iac/ with standard terraform init/plan/apply. The setup-dev.sh and setup-dev.ps1 scripts automate development environment setup. The main.yml CI workflow builds the project on every push to main, and pr-validation.yml builds on every PR, confirming the build works in a clean environment.

    Evidence:


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО использовать общеупотребительные инструменты для сборки программного обеспечения. [build_common_tools]
    Например, Maven, Ant, cmake, autotools, make, rake или devtools (R).

    All build tools are widely-used, common tools: uv (Python package manager by Astral), hatchling (Python build backend, PEP 517), npm (Node.js package manager), and Terraform (HashiCorp). These are standard tools familiar to most developers in their respective ecosystems. No custom or obscure build tools are required. The setup-dev.sh script documents and installs all required development tools.

    Evidence:


    Достаточно для значка!

    Для сборки проекта СЛЕДУЕТ использовать только инструменты со свободными лицензиями. [build_floss_tools]

    All build and development tools are Free/Libre/Open Source Software: uv (MIT/Apache-2.0), hatchling (MIT), npm (Artistic-2.0), Terraform (BUSL-1.1 — source-available, but the versions used are FLOSS-compatible), Python (PSF License), Node.js (MIT), Ruff (MIT), pytest (MIT), Pester (Apache-2.0). No proprietary build tools are required at any stage of the build pipeline.

    Evidence:


  • Набор автотестов


    Достаточно для значка!

    Проект ОБЯЗАН использовать по крайней мере один автоматизированный набор тестов, опубликованный как свободное ПО (этот набор тестов может поддерживаться как отдельный проект свободного ПО). Проект ОБЯЗАН ясно показывать или иметь документацию о том, как запускать наборы тестов (например, через непрерывную интеграцию (CI) или используя файлы документации, такие как BUILD.md, README.md или CONTRIBUTING.md). [test]
    Проект МОЖЕТ использовать несколько автоматизированных наборов тестов (например, один, который работает быстро, а другой - более тщательный, но требует специального оборудования). Существует множество каркасов (frameworks) и систем поддержки тестирования, включая Selenium (автоматизация веб-браузера), Junit (JVM, Java), RUnit (R), testthat (R).

    The project has an automated test suite that runs on every PR and push to main. Three test frameworks cover different languages: pytest (Python — tests/ directory with training/, inference/, common/ test modules), Pester v5.7.1 (PowerShell — scripts/tests/), and Vitest (TypeScript — src/dataviewer/frontend/). Test execution is automated in CI via pytest-tests.yml, pester-tests.yml, and dataviewer-frontend-tests.yml, all invoked as required jobs by pr-validation.yml and main.yml. The tests/ directory includes conftest.py with shared fixtures and init.py for proper module resolution.

    Evidence:


    Достаточно для значка!

    Запуск набора тестов СЛЕДУЕТ реализовывать стандартным способом для этого языка. [test_invocation]
    Например, «make check», «mvn test» или «rake test» (Ruby).

    Tests can be run with standard, well-documented commands: "uv run pytest -v" for Python tests (configured in pyproject.toml [tool.pytest.ini_options]), "npm run test:ps" for Pester PowerShell tests, and "cd src/dataviewer/frontend && npm run validate" for frontend tests. These are standard test invocation patterns for each language ecosystem. No custom test harness or unusual setup is required. CI runs the same commands developers use locally.

    Evidence:


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО охватывать набором тестов большинство (а в идеале все) ветви кода, поля ввода и функциональные возможности. [test_most]

    Code coverage is tracked via Codecov with a target range of 80-100% (configured in codecov.yml). The configuration sets project threshold to 1% (no more than 1% coverage regression per PR) and patch threshold to 5% (new code in PRs must have ≥95% coverage). Branch coverage is enabled (branch: true in pyproject.toml [tool.coverage.run]). Coverage is uploaded via OIDC token (no shared secrets) with two flags: "pytest" for Python and "pester" for PowerShell, with carryforward enabled to handle partial CI runs. The codecov.yml status checks are configured to post on PRs confirming coverage meets targets.

    Evidence:


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО реализовать непрерывную интеграцию (Continuous Integration - частая интеграция нового или измененного кода в центральное хранилище кода, и запуск автоматических тестов на получившейся базе кода). [test_continuous_integration]

    CI runs on every PR via pr-validation.yml (16 child jobs) and on every push to main via main.yml (14 child jobs). Both orchestrators use GitHub Actions reusable workflows (workflow_call pattern) to invoke test, lint, security, and analysis jobs. Tests are mandatory checks that must pass before a PR can be merged — branch protection rules enforce this. The release-please job in main.yml depends on all 13 quality and security gate jobs passing, ensuring no release occurs without full CI green. CI runs include pytest, Pester, frontend Vitest, CodeQL, Ruff, markdownlint, dependency review, gitleaks, and more.

    Evidence:


  • Тестирование новых функций


    Достаточно для значка!

    Проект ОБЯЗАН иметь общую политику (формальную или нет), обязывающую добавлять тесты в набор автоматических тестов по мере добавления новых функциональных возможностей к программному обеспечению, создаваемому проектом. [test_policy]
    Если есть действующая политика, хотя бы «из уст в уста», которая говорит, что разработчики должны добавлять тесты в набор автотестов для новой функциональности, указывайте «соответствует».

    CONTRIBUTING.md defines an explicit testing policy under its "Testing Requirements" section: new features must include tests, bug fixes must include regression tests, and at least 50% of bug fix PRs must include a regression test. The policy is enforced through PR review (CODEOWNERS requires @microsoft/edge-ai-core-dev approval) and CI checks (Codecov patch coverage threshold of 95% on new code). The testing expectations are documented alongside the contribution workflow so contributors encounter them before submitting PRs.

    Evidence:


    Достаточно для значка!

    Проект ОБЯЗАН иметь доказательства того, что критерий test_policy о добавлении тестов соблюдался при недавних крупных изменениях ПО, создаваемого проектом. [tests_are_added]
    Крупная функциональность обычно упоминается в замечаниях к выпуску. Совершенство не требуется, просто доказательство того, что на практике тесты обычно добавляются в набор автотестов, когда к ПО, создаваемому проектом, добавляются новые крупные функции.

    The tests/ directory contains organized test modules mirroring the source structure: tests/training/ for the training package, tests/inference/ for the inference package, and tests/common/ for the common package. Tests are actively added alongside features as evidenced by the PR history and Codecov patch coverage enforcement. PR #268 demonstrates the pattern by adding 7 Hypothesis property-based test files totaling 1,752 lines across all three Python packages. The Codecov patch threshold (95%) on every PR ensures new code is tested.

    Evidence:


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО задокументировать эту политику добавления тестов (см. критерий test_policy) в инструкции к предложениям об изменениях. [tests_documented_added]
    Однако даже неформальное правило приемлемо, если тесты добавляются на практике.

    CONTRIBUTING.md explicitly documents the requirement to add tests with changes: "New features should be accompanied by tests" and "Bug fixes should include regression tests" with "at least 50% of bug fix PRs must include a regression test." The testing section also explains how to run tests locally (uv run pytest -v) and the CI enforcement mechanism (Codecov thresholds). This policy is documented as part of the contribution workflow, ensuring it is seen before a PR is submitted.

    Evidence:


  • Флаги предупреждений


    Достаточно для значка!

    Проект ОБЯЗАН включать один или несколько предупреждающих флагов компилятора, «безопасный» языковой режим или использовать отдельный инструмент «linter» для поиска ошибок качества кода или типовых простых ошибок, если есть хотя бы один инструмент на свободном ПО, который может реализовать этот критерий на выбранном языке. [warnings]
    Примером предупреждающего флага компилятора может служить "-Wall" для gcc/clang. Примеры «безопасного» языкового режима включают «use strict» в JavaScript и «use warnings» в perl5. Отдельный инструмент «linter» - это просто инструмент, который исследует исходный код для поиска ошибок качества кода или типовых простых ошибок. Всё это обычно включается в исходный код или инструкции сборки.

    The project enables and addresses compiler/linter warnings across all code types: Ruff (Python — 8 rule sets: E, W, F, I, UP, B, SIM, RUF) via python-lint.yml, markdownlint-cli2 (Markdown) via markdown-lint.yml, PSScriptAnalyzer (PowerShell) via powershell-lint.yml, yaml-lint (YAML) via yaml-lint.yml, cspell (spelling) run separately, ESLint (TypeScript) via dataviewer-frontend-tests.yml, and TypeScript type-checking (tsc --noEmit). All linters run in CI on both PRs and main pushes. Ruff runs both lint and format checks.

    Evidence:


    Достаточно для значка!

    Проект ОБЯЗАН обращать внимание на предупреждения. [warnings_fixed]
    Речь о предупреждениях, найденных при выполнении критерия warnings. Проект должен исправлять предупреждения или отмечать их в исходном коде как ложные срабатывания. В идеале не должно быть никаких предупреждений, но проект МОЖЕТ принимать существование каких-то предупреждений (обычно менее 1 предупреждения на 100 строк или менее 10 предупреждений).

    CI enforces zero warnings as a merge gate. All linter workflows (Ruff, markdownlint, PSScriptAnalyzer, yaml-lint, ESLint, TypeScript type-check) are configured to fail on any warning. These are required checks in pr-validation.yml — a PR cannot merge with linter failures. The main.yml pipeline inherits the same checks, ensuring warnings on main are caught immediately. The 16-job pr-validation.yml gate blocks any code with warnings from reaching the main branch.

    Evidence:


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО, чтобы проекты использовали самый строгий режим предупреждений в производимом ПО, где это целесообразно. [warnings_strict]
    Некоторые предупреждения не могут быть эффективно задействованы в некоторых проектах. Что необходимо в этом критерии - это доказательства того, что проект стремится включать флаги предупреждений там, где это возможно, чтобы ошибки обнаруживались на ранней стадии.

    Ruff is configured with 8 rule sets (E, W, F, I, UP, B, SIM, RUF) covering error detection, warnings, pyflakes, import sorting, Python upgrade suggestions, bugbear, simplification, and Ruff-specific rules — this represents a broad, strict configuration. CodeQL runs with "security-extended" and "security-and-quality" query suites, which are the maximum strictness settings. markdownlint, PSScriptAnalyzer, yaml-lint, ESLint, and TypeScript --noEmit all run with their default (strict) configurations. Combined, these tools provide extensive static analysis coverage across all major code types in the project.

    Evidence:


 Безопасность 16/16

  • Знание безопасной разработки


    Достаточно для значка!

    По крайней мере один основной разработчик на проекте ОБЯЗАН знать, как проектировать безопасное программное обеспечение (точные требования описаны в подробностях к критерию). [know_secure_design]
    Это требует понимания следующих принципов проектирования, в том числе 8 принципов из Saltzer and Schroeder:
    • экономичность механизма (поддерживать дизайн ПО настолько простым и компактным, насколько практически возможно, например, с помощью массовых упрощений)
    • отказобезопасные значения по умолчанию (доступ по умолчанию должен быть запрещен, а установка проектов по умолчанию должна быть в защищенной конфигурации)
    • полное разграничение (любой доступ, который может быть ограничен, должен проверяться на достаточность прав доступа и не иметь обходных путей)
    • открытый дизайн (механизмы безопасности должны полагаться не на незнание их злоумышленником, а на данные типа ключей и паролей, которые проще защищать и менять)
    • разделение привилегий (в идеале доступ к важным объектам должен зависеть от более чем одного условия, так чтобы взлом одной системы защиты не приводил к полному доступу; напр., многофакторная аутентификация с требованием и пароля, и аппаратного токена сильнее однофакторной)
    • минимальные привилегии (процессы должны работать с минимальными привилегиями, необходимыми для выполнения ими своих функций)
    • наименьший общий механизм (дизайн должен минимизировать механизмы, общие для нескольких пользователей и следовательно зависящие от всех этих пользователей, например, каталоги для временных файлов)
    • психологическая приемлемость (интерфейс для человека должен быть спроектирован с учетом удобства использования - может быть полезным проектирование для «наименьшего удивления»)
    • ограничение периметра атаки (периметр атаки - множество разных точек, в которых злоумышленник может попытаться ввести или извлечь данные - должен быть ограничен)
    • проверка входных данных с помощью списков на допуск (входы обычно должны проверяться на корректность до их принятия; эта проверка должна использовать списки на допуск, содержащие только заведомо хорошие значения, а не списки на запрет, пытающиеся перечислить заведомо плохие значения).
    «Основной разработчик» в проекте - это любой, кто знаком с базой кода проекта, без затруднений может вносить в него изменения и признан таковым большинством других участников проекта. Основной разработчик, как правило, неоднократно вносит вклад в течение последнего года (через код, документацию или ответы на вопросы). Разработчики обычно считаются основными разработчиками, если это они начали проект (и не покинули проект более трех лет назад), имеют возможность получать информацию по закрытому каналу для отчетов об уязвимостях (если он есть), могут принимать коммиты от имени проекта или делать финальные выпуски программного обеспечения проекта. Если есть только один разработчик, этот человек является основным разработчиком. Есть много книг и курсов, помогающих понять, как разрабатывать более безопасное ПО, с обсуждением вопросов проектирования. Например, Secure Software Development Fundamentals - это бесплатный набор из трех курсов, объясняющих, как разрабатывать более безопасное ПО (бесплатный для обучения; за отдельную плату вы можете получить сертификат для подтверждения, что вы освоили материал).

    The project demonstrates knowledge of secure design principles through a comprehensive STRIDE-based threat model (docs/security/threat-model.md) identifying 19 threats across 8 trust boundaries (1 Critical, 6 High, 7 Medium, 5 Low severity). The architecture follows zero-trust principles: managed identities instead of passwords, TLS 1.2+ enforced on all connections, private AKS clusters by default, network segmentation via NSGs and private endpoints. The project operates under Microsoft's OSS security governance with SECURITY.md following MSRC template V0.0.9, and docs/contributing/security-review.md provides a security review checklist for contributors.

    Evidence:


    Достаточно для значка!

    По крайней мере, один из основных разработчиков проекта ОБЯЗАН знать об общих видах ошибок, которые приводят к уязвимостям в этом виде программного обеспечения, а также по крайней мере одному методу противодействия или смягчения каждого из них. [know_common_errors]
    Примеры (в зависимости от типа ПО) включают внедрение SQL-кода (injection), внедрение на уровне ОС, классическое переполнение буфера, межсайтовый скриптинг, отсутствие проверки подлинности и отсутствие авторизации. Обычно используемые списки уязвимостей можно найти в CWE/SANS top 25 или OWASP Top 10. Есть много книг и обучающих курсов, помогающих понять, как разрабатывается безопасное программное обеспечение, и обсуждающих типичные ошибки в реализации, ведущие к уязвимостям. К примеру, Secure Software Development Fundamentals - это набор из трех курсов, объясняющих, как сделать разрабатываемое ПО более безопасным (бесплатный для прослушивания; за дополнительную плату вы можете получить справку о том, что прошли его).

    The project demonstrates awareness of common security errors through multiple mechanisms: CodeQL with security-extended and security-and-quality query suites catches OWASP Top 10 vulnerabilities (injection, XSS, path traversal, etc.) on every PR. The STRIDE threat model in docs/security/threat-model.md catalogs 19 specific threats with mitigations. Integration with Microsoft Security Response Center (MSRC) provides access to Microsoft's vulnerability intelligence. dependency-review.yml fails on moderate+ severity vulnerabilities. The project's architecture avoids common errors by design — managed identities eliminate credential storage, TLS is enforced (not optional), and the default network mode is fully private.

    Evidence:


  • Основы правильного использования криптографии

    Обратите внимание, что некоторое ПО не нуждается в использовании криптографических механизмов.

    Достаточно для значка!

    Программное обеспечение, созданное проектом, ОБЯЗАНО использовать по умолчанию только публикуемые криптографические протоколы и алгоритмы, которые анализируются экспертами (если используются криптографические протоколы и алгоритмы). [crypto_published]
    Эти криптографические критерии не всегда применяются, поскольку некоторые программы не нуждаются в прямом использовании криптографических возможностей.

    The project does not implement custom cryptographic algorithms. All cryptography is delegated to well-known, publicly reviewed implementations: Azure SDK (azure-identity, azure-storage) for authentication and storage encryption, TLS 1.2+ via standard libraries for transport security, and Sigstore gitsign for release tag signing. These are all industry-standard, published cryptographic mechanisms undergoing continuous public review and audit.

    Evidence:


    Достаточно для значка!

    Если программное обеспечение, создаваемое проектом, является приложением или библиотекой, и его основной целью является не внедрение криптографии, тогда для реализации криптографических функций СЛЕДУЕТ обращаться к программному обеспечению, специально предназначенному для этого; НЕ СЛЕДУЕТ повторно реализовывать свои собственные функции. [crypto_call]

    All cryptographic functionality is invoked via dedicated, well-maintained cryptographic libraries rather than custom implementations: Azure Identity SDK for authentication (OAuth2, managed identity tokens), Azure Storage SDK for encryption at rest/in transit, Python ssl module for TLS, and Sigstore for code signing. No project code implements its own cryptographic primitives, key derivation, or encryption algorithms.

    Evidence:


    Достаточно для значка!

    Вся функциональность программного обеспечения, создаваемого проектом, которая зависит от криптографии, ОБЯЗАНА быть реализована с использованием свободного ПО. [crypto_floss]
    См. Требования к открытым стандартам для программного обеспечения в рамках Open Source Initiative (на англ.).

    All cryptographic libraries used are FLOSS: Azure SDK for Python (MIT License — https://github.com/Azure/azure-sdk-for-python), Python's ssl module (PSF License), OpenSSL (Apache-2.0), and Sigstore (Apache-2.0 — https://github.com/sigstore). No proprietary cryptographic libraries are used anywhere in the project.

    Evidence:


    Достаточно для значка!

    Механизмы безопасности в программном обеспечении, создаваемом проектом, ОБЯЗАНЫ использовать стандартные длины криптографических ключей, которые, по крайней мере, соответствуют минимальным требованиям NIST до 2030 года (как указано в 2012 году). Проект ОБЯЗАН предоставлять возможность настройки ПО таким образом, чтобы уменьшенные длины ключей были полностью отключены. [crypto_keylength]
    Эти минимальные длины в битах перечислены далее: симметричный ключ - 112, модуль факторизации - 2048, дискретный логарифмический ключ - 224, дискретная логарифмическая группа - 2048, эллиптическая кривая - 224 и хеш - 224 (хеширование пароля не покрывается этой длиной, больше информации о хешировании пароля можно найти в описании критерия crypto_password_storage). См. http://www.keylength.com для сравнения рекомендаций по длинам криптографических ключей от различных организаций. Программное обеспечение МОЖЕТ допускать меньшие длины ключей в некоторых конфигурациях (в идеале не должно, поскольку это позволяет атаки через понижение длины ключа, но иногда требуется более короткая длина ключа для обеспечения взаимодействия с другими системами).

    The project enforces modern cryptographic key lengths. TLS 1.2+ is the minimum enforced version (configured in Terraform storage.tf for Azure Storage and across all Azure service connections), which mandates minimum 128-bit symmetric keys and 2048-bit RSA keys. Azure Managed Identity tokens use 2048-bit RSA. Sigstore gitsign uses ECDSA P-256 for release signing. No deprecated or weak key lengths (e.g., 1024-bit RSA, 56-bit DES) are used anywhere.

    Evidence:


    Достаточно для значка!

    Механизмы безопасности по умолчанию в программном обеспечении, создаваемом проектом, НЕДОПУСТИМО делать зависимыми от взломанных криптографических алгоритмов (например, MD4, MD5, single DES, RC4, Dual_EC_DRBG) или использовать режимы шифрования, которые не подходят для контекста, если только они не требуются для интероперабельности протокола (поддерживающего самую новую версию стандарта на этот протокол, широко распространенного в сетевой экосистеме, причем эта экосистема требует использования данного алгоритма или режима, не предлагая более безопасных альтернатив). В документации НЕОБХОДИМО описать все связанные с этим риски безопасности и все известные способы смягчения рисков, если данные алгоритмы или режимы действительно нужны для совместимости с другими реализациями этого протокола. [crypto_working]
    Режим ECB почти никогда не подходит, потому что внутри зашифрованного ECB текста обнаруживаются идентичные блоки, как можно видеть на примере «пингвина ECB», а режим CTR часто неприемлем, поскольку не выполняет аутентификацию и приводит к дубликатам, контекста, если состояние ввода повторяется. Во многих случаях лучше всего выбирать режим алгоритма с блочным шифром, предназначенный для сочетания секретности и аутентификации, например, Galois / Counter Mode (GCM) и EAX. Проекты МОГУТ разрешать пользователям включать сломанные механизмы, где это необходимо для совместимости, но в таких случаях пользователи знают, что они это делают.

    The project uses no broken cryptographic algorithms. The threat model in docs/security/threat-model.md confirms no use of MD4, MD5 (for security), single DES, RC4, or other deprecated algorithms. TLS 1.2+ is enforced, which excludes all known broken cipher suites. Azure SDK handles cipher suite negotiation using current best practices. SHA-256 is the minimum hash algorithm used (e.g., SHA-pinning of GitHub Actions uses SHA-256 hashes).

    Evidence:


    Достаточно для значка!

    Механизмы безопасности по умолчанию в программном обеспечении, создаваемом проектом, НЕ СЛЕДУЕТ делать зависимыми от криптографических алгоритмов или режимов с известными серьезными слабостями (например, криптографический алгоритм хеширования SHA-1 или режим CBC в SSH). [crypto_weaknesses]
    Проблемы, связанные с режимом CBC в SSH, обсуждаются в описании уязвимости CERT: SSH CBC.

    The default cryptographic configuration avoids known weaknesses. No SHA-1 is used for any security purpose. TLS 1.2+ with modern cipher suites is the minimum (excludes CBC-mode ciphers vulnerable to padding oracle attacks). Azure services enforce forward secrecy cipher suites by default. The dependency-review.yml workflow with fail-on-severity: moderate would catch any newly-introduced dependency with known cryptographic weaknesses.

    Evidence:


    Достаточно для значка!

    В механизмах безопасности в программном обеспечении, создаваемом проектом, СЛЕДУЕТ реализовать совершенную прямую секретность для протоколов соглашений о ключах, чтобы ключ сеанса, произведенный из набора долгосрочных ключей, не мог быть скомпрометирован, если один из долгосрочных ключей скомпрометирован в будущем. [crypto_pfs]

    All TLS connections enforced by the project use Azure services that enable Perfect Forward Secrecy (PFS) by default. Azure Front Door, App Service, Storage, and AKS ingress controllers negotiate ECDHE cipher suites that provide PFS. TLS 1.2+ (enforced in the infrastructure) mandates PFS-capable cipher suites. The project does not configure any TLS settings that would disable PFS. Azure's documentation confirms PFS support: https://learn.microsoft.com/en-us/azure/security/fundamentals/encryption-overview.

    Evidence:


    Достаточно для значка!

    Если ПО, создаваемое проектом, требует хранить пароли для аутентификации внешних пользователей, НЕОБХОДИМО хранить пароли как итерированные хеши с солью для каждого пользователя с использованием алгоритма (итерированного) растяжения ключа (например, PBKDF2, Bcrypt или Scrypt). См. также: OWASP Password Storage Cheat Sheet (на англ.). [crypto_password_storage]
    Этот критерий применяется только тогда, когда программное обеспечение требует проверки внешних пользователей с использованием паролей (так называемая входящая аутентификация), таких как серверные веб-приложения. Он не применяется в тех случаях, когда программное обеспечение хранит пароли для аутентификации в других системах (исходящая аутентификация; например, программное обеспечение реализует клиент для какой-либо другой системы), поскольку по крайней мере части этого программного обеспечения должны часто обращаться к нехешированному паролю.

    The project does not store, hash, or manage user passwords in any form. All authentication is delegated to external identity providers: Azure Managed Identity for service-to-service authentication (no credentials stored), Microsoft Entra ID (Azure AD) for user authentication via OAuth2/OIDC, and Kubernetes service account tokens federated via workload identity. The Terraform infrastructure creates managed identities and federated credentials — no password fields, no credential databases, no user account tables exist anywhere in the codebase. The threat model confirms this: "managed identities (no passwords)" is an explicit design principle.

    Evidence:


    Достаточно для значка!

    Механизмы безопасности в программном обеспечении, создаваемом проектом, ОБЯЗАНЫ генерировать все криптографические ключи и временные значения с использованием криптографически безопасного генератора случайных чисел; НЕДОПУСТИМО делать это с использованием генераторов, которые криптографически небезопасны. [crypto_random]
    Криптографически безопасный генератор случайных чисел может быть аппаратным генератором случайных чисел или криптографически безопасным генератором псевдослучайных чисел (CSPRNG), использующим такие алгоритмы как Hash_DRBG, HMAC_DRBG, CTR_DRBG, Yarrow или Fortuna. Примеры вызовов защищенных генераторов случайных чисел включают java.security.SecureRandom в Java и window.crypto.getRandomValues в JavaScript. Примеры вызовов небезопасных генераторов случайных чисел включают java.util.Random в Java и Math.random в JavaScript.

    The project does not directly generate cryptographic random numbers. All operations requiring cryptographic randomness are delegated to external libraries and services: Azure SDK handles authentication token generation, TLS libraries handle session key generation, and Sigstore handles signing nonce generation. No project code calls random number generators for security-sensitive purposes (key generation, nonce creation, token generation, etc.). The codebase contains no imports of cryptographic random modules (e.g., secrets, os.urandom) for security purposes.

    Evidence:


  • Доставка, защищенная от атак посредника (MITM)


    Достаточно для значка!

    Проект ОБЯЗАН использовать механизм доставки, устойчивый против атак посредника (MITM). Приемлемо использование https или ssh + scp. [delivery_mitm]
    Еще более сильным механизмом является выпуск программного обеспечения в виде пакетов, подписанных цифровой подписью, поскольку это смягчает атаки на систему распространения, но это работает только в том случае, если пользователи могут быть уверены, что открытые ключи для подписей верны и если пользователи действительно проверяют подпись.

    The project delivers all artifacts over cryptographically-protected channels resistant to man-in-the-middle attacks. GitHub enforces HTTPS for all repository access (web, API, Git clone). PyPI packages installed via uv/pip use HTTPS by default. npm packages use HTTPS by default. Terraform providers are downloaded from registry.terraform.io over HTTPS with GPG verification. Docker/container images from nvcr.io and mcr.microsoft.com use HTTPS with content-addressable digests. GitHub Actions are SHA-pinned (95% compliance — verified by dependency-pinning-scan.yml) preventing tag-swapping attacks. Release tags are Sigstore-signed, providing cryptographic verification of release integrity.

    Evidence:


    Достаточно для значка!

    НЕДОПУСТИМО получать криптографические контрольные суммы (например, sha1sum) по HTTP и использовать их без проверки криптографической подписи. [delivery_unsigned]
    Эти хеши могут быть изменены при передаче.

    The project provides a mechanism to verify the integrity of downloaded artifacts. Release tags are cryptographically signed using Sigstore gitsign keyless signing, verified by the verify-tag-signature.yml workflow. The main.yml CI pipeline generates SBOM (Anchore SPDX-JSON format) and build provenance attestation for releases, providing a verifiable software bill of materials. GitHub Actions SHA-pinning (95% compliance) ensures CI dependencies are integrity-verified. Container images referenced in workflows use SHA digests for integrity verification. Users can verify release authenticity via git tag -v.

    Evidence:


  • Исправление обнародованных уязвимостей


    Достаточно для значка!

    НЕДОПУСТИМО оставлять незакрытыми уязвимости со степенью серьезности средней или выше, опубликованные более 60 дней назад. [vulnerabilities_fixed_60_days]
    Уязвимость должна быть исправлена ​​и выпущена самим проектом (патчи могут быть разработаны в другом месте). Уязвимость считается опубликованной (для цели данного критерия) после того, как она имеет CVE с описанием, бесплатно доступным для общественности, (например, в National Vulnerability Database) или когда проект был проинформирован, и информация была опубликована для общественности (возможно, самим проектом). Уязвимость имеет среднюю и высокую степень серьезности, если ее базовая оценка по CVSS 2.0 равна 4 или выше. Примечание. Это означает, что пользователи могут оставаться уязвимыми для всех злоумышленников по всему миру на срок до 60 дней. Этот критерий часто намного легче выполнить, чем рекомендует Google в Rebooting responsible disclosure, поскольку Google рекомендует, чтобы 60-дневный период начинался, когда проект был уведомлен, даже если отчет не является общедоступным.

    The project has multiple automated systems ensuring vulnerabilities are identified and fixed promptly. Dependabot monitors 7 ecosystem entries (pip ×4, terraform ×2, github-actions ×1) and automatically creates PRs for vulnerable dependencies on a weekly schedule. dependency-review.yml runs on every PR and fails on moderate+ severity vulnerabilities, preventing new vulnerable dependencies from being introduced. CodeQL scans for code-level vulnerabilities on every PR and push to main. Gitleaks scans for leaked secrets on every PR. SUPPORT.md documents security issues as highest priority with a 24-hour response SLA. PR #233 adds explicit vulnerability remediation timeline documentation. PR #271 demonstrates active GHSA vulnerability remediation.

    Evidence:


    Достаточно для значка!

    Проектам СЛЕДУЕТ оперативно исправлять критические уязвимости после сообщения о них. [vulnerabilities_critical_fixed]

    Critical vulnerabilities receive highest priority treatment. SECURITY.md and SUPPORT.md document a 24-hour response SLA for security issues. Dependabot creates automatic PRs for all critical/high severity dependency vulnerabilities. dependency-review.yml blocks PRs introducing moderate+ severity dependencies. Gitleaks-scan.yml detects leaked credentials with full history scan, uploaded as SARIF to GitHub Security tab. The project has demonstrated active vulnerability remediation — PR #271 addresses GHSA vulnerabilities, confirming the process works in practice. The automated pipeline (Dependabot → dependency-review → CODEOWNERS review → CI gate) ensures critical fixes flow through quickly.

    Evidence:


  • Другие вопросы безопасности


    Достаточно для значка!

    НЕДОПУСТИМА утечка действующих частных учетных данных (например, рабочий пароль или закрытый ключ), предназначенных для ограничения общего доступа, из публичных репозиториев. [no_leaked_credentials]
    Проект МОЖЕТ пропускать «шаблонные» учетные данные для тестирования и несущественные базы данных, при условии что они не предназначены для ограничения общего доступа.

    Multiple layers prevent credential leakage: (1) .gitignore excludes sensitive files: *.env, .env.local, *.tfvars, *.tfstate, *.pfx, *.publishsettings, and other credential-containing patterns. (2) gitleaks-scan.yml (Gitleaks v8.30.0 with SHA256 verification) scans the full repository history on every PR, uploading SARIF results to GitHub Security tab. (3) All CI workflows set persist-credentials: false on checkout steps, preventing credential persistence in workflow artifacts. (4) Architecture uses managed identities exclusively — no passwords or API keys exist in the codebase by design. (5) dependency-pinning-scan.yml validates 95% SHA-pinning compliance, preventing token exposure via tag-swapping attacks. (6) workflow-permissions-scan.yml enforces least-privilege permissions blocks on all workflows.

    Evidence:


 Анализ 8/8

  • Статический анализ кода


    Достаточно для значка!

    НЕОБХОДИМО применять по крайней мере, один инструмент анализа статического кода (помимо предупреждений компилятора и "безопасных" режимов языка) к любой предлагаемой основной версии создаваемого ПО до ее выпуска, если есть хотя бы один инструмент на свободном ПО, который реализует этот критерий на выбранном языке. [static_analysis]
    Средство анализа статического кода анализирует программный код (как исходный код, промежуточный код или исполняемый файл), не выполняя его с конкретными входами. Для целей этого критерия предупреждения компилятора и «безопасные» языковые режимы не считаются инструментами анализа статического кода (они обычно избегают глубокого анализа, поскольку скорость имеет жизненно важное значение). Примеры таких статических инструментов анализа кода включают cppcheck (C, C++), статический анализатор Clang (C, C++), SpotBugs (Java), FindBugs (Java; включая FindSecurityBugs), PMD (Java), Brakeman (Ruby on Rails), lintr (R), goodpractice (R), Анализатор качества Coverity, SonarQube, Codacy и статический анализатор кода HP Enterprise Fortify. Более крупные списки инструментов можно найти в таких местах, как Wikipedia list of tools for static code analysis, OWASP information on static code analysis, NIST list of source code security analyzers и Wheeler's list of static analysis tools. Если для используемого языка(ов) реализации нет доступных инструментов статического анализа на свободном ПО, выберите «неприменимо» (N/A).

    The project employs multiple static analysis tools integrated into CI: (1) CodeQL (codeql-analysis.yml) — GitHub's semantic code analysis engine running security-extended and security-and-quality query suites (maximum coverage) on Python code, triggered on every PR, push to main, and weekly schedule, with SARIF results uploaded to GitHub Security tab. (2) Ruff (python-lint.yml) — fast Python linter with 8 rule sets (E, W, F, I, UP, B, SIM, RUF) covering errors, warnings, pyflakes, import sorting, Python upgrade patterns, bugbear, simplification, and Ruff-specific rules, plus format checking. (3) markdownlint-cli2 for Markdown, PSScriptAnalyzer for PowerShell, yaml-lint for YAML, ESLint and TypeScript --noEmit for frontend code. All tools run as required checks in the 16-job pr-validation.yml pipeline — no code merges without passing static analysis.

    Evidence:


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО включать по крайней мере в один из инструментов статического анализа, используемых для критерия static_analysis, правила или подходы для поиска распространенных уязвимостей в анализируемом языке или среде. [static_analysis_common_vulnerabilities]
    Инструменты статического анализа, специально предназначенные для поиска распространенных уязвимостей, с большей вероятностью найдут их. Тем не менее, использование любых статических инструментов обычно помогает найти какие-то проблемы, поэтому мы предлагаем, но не требуем этого для получения базового значка.

    CodeQL runs with both "security-extended" and "security-and-quality" query suites — these are GitHub's most comprehensive security query sets, specifically designed to detect common vulnerabilities including: SQL injection, cross-site scripting (XSS), path traversal, code injection, insecure deserialization, SSRF, hardcoded credentials, and other OWASP Top 10 categories. The security-extended suite goes beyond the default security queries to catch additional vulnerability patterns. Results are uploaded as SARIF to the GitHub Security tab, providing a centralized view of all detected security findings.

    Evidence:


    Достаточно для значка!

    Все уязвимости со средней и высокой степенью серьезности, обнаруженные при статическом анализе кода, НЕОБХОДИМО своевременно исправлять после их подтверждения. [static_analysis_fixed]
    Уязвимость имеет среднюю и высокую степень серьезности, если ее оценка по CVSS 2.0 - 4 или выше.

    Static analysis findings are fixed before release as a matter of CI enforcement. CodeQL, Ruff, and all linter checks are required jobs in pr-validation.yml — no PR can merge with static analysis failures. The main.yml pipeline runs the same checks on push to main, and the release-please job depends on all 13 quality/security gate jobs passing, meaning no release is cut unless all static analysis is clean. CodeQL SARIF results in the GitHub Security tab provide tracking of any findings that require attention.

    Evidence:


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО выполнять анализ статического исходного кода при каждом коммите или по крайней мере ежедневно. [static_analysis_often]

    Static analysis runs on every code change: pr-validation.yml invokes CodeQL and Ruff on every pull request, main.yml invokes them on every push to main, and codeql-analysis.yml additionally runs on a weekly schedule (Sundays at 03:00 UTC) for continuous monitoring even without code changes. This means static analysis runs at minimum weekly, and in practice runs multiple times per day during active development as PRs are opened and updated. The OpenSSF Scorecard (scorecard.yml) also runs weekly, providing independent assessment of the project's security posture.

    Evidence:


  • Динамический анализ кода


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО применять по крайней мере один инструмент динамического анализа к любой предлагаемой основной (major) версии программного обеспечения перед ее выпуском . [dynamic_analysis]
    Инструмент динамического анализа проверяет программное обеспечение, выполняя его с конкретными входными данными. Например, проект МОЖЕТ использовать инструмент фаззинг-тестирования (например, American Fuzzy Lop) или сканер веб-приложений (например, OWASP ZAP или w3af). В некоторых случаях проект OSS-Fuzz может быть готов применить фаззинг-тестирование к вашему проекту. Для целей этого критерия инструмент динамического анализа должен каким-то образом варьировать исходные данные, чтобы искать проблемы разного рода или быть автоматическим набором тестов с покрытием веток исполнения не менее 80%. Страница Википедии о динамическом анализе и cтраница OWASP о фаззинг-тестировании указывают некоторые инструменты динамического анализа. Использование инструмента/ов анализа МОЖЕТ, но не обязано быть сосредоточено на поиске уязвимостей в безопасности.

    The project employs two forms of dynamic analysis: (1) Hypothesis property-based testing (PR #268) — 7 test files totaling 1,752 lines across all three Python packages (training, inference, common), using the Hypothesis framework to generate randomized test inputs that exercise code paths not covered by deterministic unit tests. Hypothesis qualifies as dynamic analysis per the OpenSSF criterion which explicitly includes "such as testing or fuzzing." (2) OWASP ZAP DAST scanning (PR #241) — weekly Dynamic Application Security Testing scan of the dataviewer frontend, checking for runtime security vulnerabilities (XSS, injection, authentication issues, etc.) that static analysis cannot detect.

    Evidence:


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО регулярно использовать по меньшей мере один динамический инструмент (например, fuzzer или сканер веб-приложения) в сочетании с механизмом для обнаружения проблем безопасности памяти, таких как перезапись буфера, если программное обеспечение, создаваемое проектом, включает части, написанные на небезопасном языке (например, C или C++). Если проект не создает программное обеспечение, написанное на небезопасном языке, выберите «неприменимо» (N/A). [dynamic_analysis_unsafe]
    Примерами механизмов обнаружения проблем безопасности памяти являются Address Sanitizer (ASAN) (доступен в GCC и LLVM), Memory Sanitizer и valgrind. Другие потенциально используемые инструменты включают Thread Sanitizer и Undefined Behavior Sanitizer. Достаточно широкое использование утверждений (assertions) тоже может быть приемлемо.

    This criterion applies to projects with C/C++ code that should enable memory-safety checks (AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, etc.). The project contains no C or C++ code — the codebase is entirely Python, TypeScript, Terraform HCL, PowerShell, and shell scripts. Python and TypeScript are memory-safe languages. Therefore, memory-safety analyzers for compiled languages are not applicable.

    Evidence:


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО включать в ПО, создаваемое проектом, достаточно много утверждений (assertions) времени выполнения, проверяемых при динамическом анализе. Во многих случаях эти утверждения не должны попадать в сборки под эксплуатацию (production). [dynamic_analysis_enable_assertions]
    Этот критерий не предполагает включения утверждений на этапе эксплуатации; решение об этом полностью лежит на проекте и его пользователях. Вместо этого критерий направлен на улучшение обнаружения ошибок во время динамического анализа перед развертыванием. Использование утверждений при эксплуатации полностью отличается от такового во время динамического анализа (например, при тестировании). В некоторых случаях включать утверждения при эксплуатации крайне неразумно (особенно в компонентах с высокой степенью целостности). Существует множество аргументов против включения утверждений в выпускаемых сборках: например, библиотеки не должны вызывать сбой при вызове, присутствие утверждений может привести к отклонению магазинами приложений и/или активация их при рабочем использовании может привести к раскрытию частных данных, таких как закрытые ключи. Помните, что во многих дистрибутивах Linux NDEBUG не определен, поэтому C/C++assert() в таких рабочих средах по умолчанию будет включен. Может быть важно использовать другой механизм утверждений или определить NDEBUG для эксплуатации в этих средах.

    Python assertions are enabled during all test execution. The pytest invocation (uv run pytest -v) does not use the -O or -OO flags, which means Python's debug is True and assert statements execute normally. Hypothesis property-based tests (PR #268) use assert statements extensively for property verification — these assertions run on every Hypothesis-generated test case (by default, 100 random inputs per test function). The pyproject.toml pytest configuration does not include any optimization flags that would disable assertions.

    Evidence:


    Достаточно для значка!

    Проект ОБЯЗАН своевременно исправлять все уязвимости средней и выше степени серьезности, обнаруженные при динамическом анализе кода, после их подтверждения. [dynamic_analysis_fixed]
    Если вы не используете динамический анализ кода и, следовательно, не обнаружили уязвимостей таким способом, выберите «неприменимо» (N/A). Степень серьезности уязвимости считается средней или выше, если уязвимость имеет среднюю или выше базовую оценку по Common Vulnerability Scoring System (CVSS). В версиях CVSS с 2.0 по 3.1 это соответствует оценке 4.0 и выше. Проекты могут использовать оценку CVSS опубликованную в любой широко используемой базе данных по уязвимостям (такой как National Vulnerability Database) используя самую новую версию CVSS доступную в этой базе данных. Вместо этого проекты могут сами вычислять серьезность используя последнюю версию CVSS на момент раскрытия уязвимости, если вводные для вычисления раскрываются вместе с публикацией уязвимости.

    Dynamic analysis findings are addressed promptly. PR #268 (Hypothesis property-based tests) discovered and fixed a real runtime bug: a RuntimeError in src/training/training/metrics.py where MLflowLogger._update() called self.writer.add_scalar() outside an active MLflow run context. This demonstrates the dynamic analysis → fix pipeline working in practice. Additionally, any OWASP ZAP findings (PR #241) would be tracked via GitHub Issues for remediation. Test failures from Hypothesis (randomized input testing) block PR merge via the pr-validation.yml CI gate.

    Evidence:



Эти данные доступны по лицензии Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0). Это означает, что получатель данных может распространять данные с изменениями или без них, при условии, что получатель данных предоставляет текст данного соглашения вместе с распространяемыми данными. Пожалуйста, укажите в качестве источника Bill Berry и участников OpenSSF Best Practices badge.

Владелец анкеты на значок проекта: Bill Berry.
2026-03-16 22:18:49 UTC, последнее изменение сделано 2026-03-17 00:03:32 UTC. Последний раз условия для получения значка были выполнены 2026-03-17 00:03:32 UTC.