silken_net

Проекты, которые следуют приведенным ниже лучшим практикам, могут добровольно и самостоятельно оценить себя и продемонстрировать, что они получили значок Open Source Security Foundation (OpenSSF).

Не существует набора практик, гарантирующего, что у программного обеспечения никогда не будет недостатков или уязвимостей; даже формальные методы могут не помочь, если спецификации или допущения ошибочны. Также не существует какой-либо практики, которая могла бы гарантировать, что проект будет поддерживать здоровое и хорошо функционирующее сообщество разработчиков. Однако следующие хорошие правила могут помочь улучшить результаты проектов. Например, некоторые правила описывают ревью несколькими участниками перед выпуском, что может помочь найти технические уязвимости, которые было бы сложно найти другим способом, и помочь построить доверие и желание дальнейшего взаимодействия между разработчиками из разных компаний. Чтобы получить значок, нужно выполнить все критерии с ключевыми словами "НЕОБХОДИМО"/"ОБЯЗАН"/"НЕДОПУСТИМО", все критерии со словом "СЛЕДУЕТ" либо должны удовлетворяться, либо должно быть приведено обоснование их невыполнения, и все критерии со словом "ЖЕЛАТЕЛЬНО" могут быть удовлетворены ИЛИ неудовлетворены (желательно, чтобы они были хотя бы рассмотрены). Если вы хотите ввести общий комментарий вместо объяснения, почему текущая ситуация приемлема, начните текст с '//' и пробела. Приветствуется обратная связь через сайт на GitHub в виде issues или pull requests. Существует также список рассылки для общих вопросов.

Мы с удовольствием предоставляем информацию на нескольких языках, однако, если есть какой-либо конфликт или несоответствие между переводами, английская версия является авторитетной.
Если это ваш проект, пожалуйста, покажите свой значок на странице проекта! Статус значка выглядит следующим образом: Уровень значка для проекта 13358 - silver Вот как вставить его:
Вы можете показать свой статус значка, вставив его в файл с разметкой Markdown:
[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/13358/badge)](https://www.bestpractices.dev/projects/13358)
- или HTML:
<a href="https://www.bestpractices.dev/projects/13358"><img src="https://www.bestpractices.dev/projects/13358/badge"></a>


Это критерии уровня Silver. Вы также можете просмотреть критерии уровня Passing или Gold.

Baseline Series: Базовый уровень 1 Базовый Уровень 2 Базовый Уровень 3

        

 Основы 17/17

  • Общая

    Обратите внимание, что другие проекты могут использовать то же имя.

    Silken Net: a trustless, decentralized D-MRV / Nature-as-a-Service (NaaS) platform for planetary-scale forest-health monitoring. Edge IoT sensors in trees bridge to the Polygon blockchain via a Chainlink oracle, minting Silken Carbon (SCC) and Silken Forest (SFC) tokens from verified biomass-growth telemetry; a Lorenz-attractor homeostasis signal guards against fraud.

    Используйте формат выражения лицензии SPDX; примеры включают «Apache-2.0», «BSD-2-Clause», «BSD-3-Clause», «GPL-2.0+», «LGPL-3.0+», «MIT» и «(BSD-2-Clause OR Ruby)».
    Если используется более одного языка, перечислите их через запятую (пробелы необязательны), и отсортируйте их от наиболее до наименее используемого. Если список длинный, пожалуйста, перечислите по крайней мере три наиболее распространенных. Если языка нет (например, это проект только для документации или только для тестирования), используйте один символ «-» (минус). Для каждого языка используйте общепринятую капитализацию названия, например «JavaScript».
    Common Platform Enumeration (CPE) - это структурированная схема именования для информационных систем, программного обеспечения и пакетов. Она используется в ряде систем и баз данных для отчетов об уязвимостях.

    Honest TRL: backend TRL 8, firmware TRL 6, bio-anchor TRL 3; multi-zone licensing — see NOTICE.

  • Предварительные требования


    Проект ОБЯЗАН получить значок уровня Passing. [achieve_passing]

  • Основная информация на веб-сайте проекта


    В информацию о том, как внести вклад, НЕОБХОДИМО включить требования к приемлемым взносам (например, ссылку на любой требуемый стандарт кодирования). (Требуется URL) [contribution_requirements]

    CONTRIBUTING.md "Requirements for acceptable contributions" lists the checks every contribution must pass, per domain: Ruby/Rails — RuboCop, RSpec, Brakeman, bundler-audit; Python — Ruff; firmware — host test suite (make -C firmware/test); Solidity — forge build/test. It also requires matching the surrounding code style and keeping the docs/ single source of truth updated.
    https://github.com/Alexey-Lukin/silken_net/blob/main/CONTRIBUTING.md#requirements-for-acceptable-contributions


  • Надзор за проектом


    Проекту СЛЕДУЕТ иметь юридический механизм, через который все авторы содержательных взносов в ПО проекта подтверждают, что они имеют законное право на внесение этих взносов. Самый распространенный и легко реализуемый подход для этого заключается в использовании Developer Certificate of Origin (DCO), при котором пользователи добавляют строку "signed-off-by" в свои коммиты, а проект ссылается на веб-сайт DCO. Но этот механизм МОЖЕТ быть реализован и в качестве Лицензионного соглашения с участниками (Contributor License Agreement, CLA) или другого правового механизма. (Требуется URL) [dco]
    DCO является рекомендуемым механизмом, потому что его легко реализовать и отслеживать в исходном коде, а git напрямую поддерживает функцию "signed-off" при помощи "commit -s". Для большей эффективности лучше всего, если проектная документация объясняет, что означает "signed-off" для этого проекта. CLA - это юридическое соглашение, которое определяет условия, на которых произведения умственного труда были лицензированы для организации или проекта. Соглашение о назначении участника (contributor assignment agreement, CAA) является юридическим соглашением, которое передает права на произведения умственного труда другой стороне; проекты не обязаны иметь CAA, поскольку CAA увеличивает риск того, что потенциальные участники не будут вносить свой вклад, особенно если получатель является коммерческой организацией. Лицензии CLA от Apache Software Foundation (лицензия отдельного участника и корпоративное соглашение CLA) являются примерами CLA для проектов, считающих, что риски от такого рода CLA для проекта меньше, чем их преимущества.

    The project uses the Developer Certificate of Origin (DCO) 1.1 as its contributor-authorization mechanism, documented in CONTRIBUTING.md: by signing off a commit (git commit -s, adding a Signed-off-by trailer) a contributor certifies they wrote the patch or otherwise have the right to submit it under the project's licenses. It complements the inbound=outbound "License of contributions" statement in the same file. (The first DCO-signed commit is already in history.)
    https://github.com/Alexey-Lukin/silken_net/blob/main/CONTRIBUTING.md#developer-certificate-of-origin-dco
    https://developercertificate.org/



    Проект ОБЯЗАН четко определить и задокументировать модель управления проектом (способ принятия решений, включая ключевые роли). (Требуется URL) [governance]
    Требуется устоявшийся задокументированный способ принятия решений и разрешения споров. В небольших проектах это может быть просто вплоть до «владелец и лидер проекта принимает все окончательные решения». Существуют различные модели управления, включая благосклонное диктаторство и формальную меритократию; более подробно см. Governance models. В проектах успешно используются как централизованные подходы (например, с одним ведущим), так и децентрализованные (например, с групповыми ведущими). Не нужно указывать в сведениях об управлении возможность форка проекта, поскольку это всегда возможно для проектов СПО.

    The project's governance is documented in GOVERNANCE.md: Silken Net uses a single-maintainer ("benevolent dictator") model — the founder and sole maintainer (Oleksii Lukin, @Alexey-Lukin) makes all final technical, architectural and release decisions. Day-to-day changes land via the CONTRIBUTING.md pull-request flow with maintainer review (CODEOWNERS); architecture is decided documentation-first in the SSOT docs. This project (development) governance is explicitly distinct from the on-chain SFC DAO that governs the deployed protocol's parameters (docs/05_06).
    https://github.com/Alexey-Lukin/silken_net/blob/main/GOVERNANCE.md



    Проект ОБЯЗАН определить правила поведения и разместить эти правила в стандартном месте. (Требуется URL) [code_of_conduct]
    Проекты могут повысить цивилизованность их сообщества и установить ожидания относительно приемлемого поведения, приняв правила поведения. Это может помочь избежать проблем до их возникновения и сделать проект более привлекательным местом, поощряющим участие. Правила должны быть сосредоточены только на поведении в сообществе или на рабочем месте проекта. Примерами правил поведения являются правила конфликтов на проекте ядра Linux, Contributor Covenant Code of Conduct, Кодекс поведения Debian, Ubuntu Code of Conduct, Правила поведения проекта Fedora, GNOME Code Of Conduct, KDE Community Code of Conduct">, Python Community Code of Conduct, The Ruby Community Conduct Guideline и The Rust Code of Conduct.

    The project has adopted the Contributor Covenant 2.1 as its code of conduct, posted in the standard top-level location CODE_OF_CONDUCT.md (GitHub surfaces it on the repository's Community page and when opening issues/PRs). It defines expected and unacceptable behavior, scope, and a reporting/enforcement process with a contact.
    https://github.com/Alexey-Lukin/silken_net/blob/main/CODE_OF_CONDUCT.md



    Проект ОБЯЗАН четко определять и публично документировать ключевые роли в проекте и их обязанности, включая любые задачи, которые должны выполнять эти роли. Должно быть ясно, кто имеет какую роль(и), хотя это может быть и не задокументировано соответствующим образом. (Требуется URL) [roles_responsibilities]
    Документация для управления , а также роли и обязанности могут быть в одном месте.

    The project's key roles and responsibilities are documented in GOVERNANCE.md (the "Roles" section): Maintainer / Lead — Oleksii Lukin (@Alexey-Lukin) — responsible for final decisions, code review, releases and security response; Contributors — anyone — propose changes via pull requests (CONTRIBUTING.md). It is clear who holds the maintainer role. Governance and roles are documented together, as this criterion permits.
    https://github.com/Alexey-Lukin/silken_net/blob/main/GOVERNANCE.md#roles



    Проект ОБЯЗАН быть в состоянии продолжать работу с минимальным прерыванием, если какой-либо человек окажется недееспособен или убит. В частности, проект ОБЯЗАН быть в состоянии создавать и закрывать вопросы в трекере, принимать предложенные изменения и выпускать версии программного обеспечения через неделю после подтверждения того, что данный человек недееспособен или убит. Это МОЖЕТ быть реализовано через обеспечение кого-то ещё необходимыми ключами, паролами и законными правами для продолжения проекта. Лица, которые запускают проект СПО, МОГУТ сделать это, оставив ключи в сейфе и завещание, передающее все необходимые юридические права (например, для имен DNS). (Требуется URL) [access_continuity]

    The project is fully FLOSS (AGPL-3.0-or-later) with all source, history, issues, pull requests and releases public on GitHub, the docs mirrored to the wiki, and contracts/telemetry on public chains — nothing required to continue the project is held in a private silo. As documented in GOVERNANCE.md ("Continuity"), if the sole maintainer becomes unavailable any contributor can fork the public repository and, within a week, create/close issues, accept proposed changes, and cut releases (release-please + standard GitHub Releases need no private key); the AGPL licence grants the legal rights to do so. Additional maintainers will be added as the project grows.
    https://github.com/Alexey-Lukin/silken_net/blob/main/GOVERNANCE.md#continuity



    Проекту СЛЕДУЕТ поддерживать «коэффициент автобуса» 2 или более. (Требуется URL) [bus_factor]
    «Коэффициент автобуса» (или «коэффициент грузовика») - это минимальное количество участников проекта, которые должны внезапно исчезнуть из проекта («попасть под автобус»), чтобы проект заглох из-за отсутствия квалифицированного или компетентного персонала. Инструмент truck-factor может оценить это для проектов на GitHub. Для получения дополнительной информации см. статью Cosentino et al. Assessing the Bus Factor of Git Repositories.

    Unmet — the project currently has a single maintainer, so its bus factor is 1. This is mitigated: the project is fully FLOSS with all code, history, issues and releases public on GitHub (forkable by anyone — see GOVERNANCE.md "Continuity"), so loss of the maintainer does not lose the project, only its stewardship. The maintainer intends to add co-maintainers as the contributor base grows, raising the bus factor to 2+.
    https://github.com/Alexey-Lukin/silken_net/blob/main/GOVERNANCE.md#continuity


  • Документация


    Проект ОБЯЗАН иметь задокументированный долгосрочный план (roadmap), описывающий, что проект намеревается, а что не намеревается делать, по крайней мере на ближайший год. (Требуется URL) [documentation_roadmap]
    Проект может не достичь того, что описано в долгосрочном плане, и это нормально. Цель дорожной карты - помочь потенциальным пользователям и участникам понять намеченное направление проекта. Подробности не требуются.

    The project has a documented roadmap in docs/00_01 (Vision, Mission & Roadmap), §4 "High-Level Roadmap", with dated phases — Phase 1 "The First Breath" (2026: R&D + validation), Phase 2 "The Cyber-Physical State" (2027-2028: regional expansion), Phase 3 "Planetary Scale" (2029-2030) — well beyond the next year. What is deliberately out of near-term scope is separated into the far-horizon agenda (docs/00_08, 2030-2040+, explicitly not TRL-gated). Near-term intended work is tracked live in docs/00_07.
    https://github.com/Alexey-Lukin/silken_net/blob/main/docs/00_01_Vision_Mission_and_Roadmap.md



    Проект ОБЯЗАН включать документацию по архитектуре (также называемой высокоуровневым дизайном) ПО, создаваемого проектом. Выберите «неприменимо» (N/A), если проект не создает программное обеспечение. (Требуется URL) [documentation_architecture]
    Архитектура ПО объясняет фундаментальную структуру программы, то есть основные компоненты программы, отношения между ними и ключевые свойства этих компонентов и отношений.

    The architecture is documented as the 8-level SilkenNet stack (L1 biophysics / Ti-6Al-4V anchor + EBFC → L3 firmware + edge AI → L5 Rails backend → L7 Polygon/DeFi → L8 Ethereum L1 finalization): the high-level diagram and the multichain / tech-stack tables are in the README, the canonical system map and reading order in docs/00_00, and each layer's detailed design has its own module (e.g. docs/02_01 hardware architecture, docs/05_01 multichain). The major components, their relationships and key properties are all covered.
    https://github.com/Alexey-Lukin/silken_net/blob/main/docs/00_00_SSOT_Index.md
    https://github.com/Alexey-Lukin/silken_net#readme



    Проект ОБЯЗАН документировать то, что пользователь может и чего он не должен ожидать с точки зрения безопасности от ПО, создаваемого проектом (его «требования безопасности»). (Требуется URL) [documentation_security]
    Это требования безопасности, выполнение которых ожидается от ПО.

    The project's security expectations and limitations are documented. SECURITY.md states the in-scope components and a "Known, documented limitations" section that openly states what users should NOT expect today — e.g. the transitional AES-128-ECB LoRa link (no MAC/IV yet, bench-gated for migration to authenticated AES-128-CCM), with the open security backlog tracked in docs/00_07 (SEC.*). The intended security model the software aims to meet — AES-128-CCM (LoRa) / AES-256-CBC+GCM (CoAP + at-rest), SE050 secure element, per-device HKDF keys, IV/nonce generation, and the PQC migration roadmap — is the canonical SSOT in docs/03_05.
    https://github.com/Alexey-Lukin/silken_net/blob/main/SECURITY.md
    https://github.com/Alexey-Lukin/silken_net/blob/main/docs/03_05_Hardware_Symmetric_Crypto_and_Security.md



    Проект ОБЯЗАН предоставить руководство для быстрого начала работы для новых пользователей, чтобы помочь им быстро что-то сделать, используя ПО, создаваемое проект. (Требуется URL) [documentation_quick_start]
    Идея состоит в том, чтобы показать пользователям, как начать работу и и добиться, чтобы ПО что-то вообще сделало. Потенциальным пользователям это критически важно для начала работы.

    The README has a "Quick Start" section: clone the repo, bundle install, bin/rails db:prepare, bin/dev (Rails + Sidekiq + Tailwind + CoAP listener), then bin/rails db:seed + bin/forest_simulator to generate live telemetry without any hardware — so a new user can get the system doing something within minutes. CONTRIBUTING.md also links to it.
    https://github.com/Alexey-Lukin/silken_net#readme



    Проект ОБЯЗАН прилагать усилия к тому, чтобы документация соответствовала текущей версии результатов проекта (включая ПО, создаваемое проектом). НЕОБХОДИМО исправлять любые известные дефекты документации, приводящие к ее непоследовательности. Если документация в целом актуальна, но ошибочно включает в себя некоторые более старые данные, которые больше не верны, просто рассматривайте это как дефект, отслеживайте и исправляйте, как обычно. [documentation_current]
    Документация МОЖЕТ включать информацию о различиях или изменениях между версиями программного обеспечения и/или ссылку на более старые версии документации. Смысл этого критерия заключается в том, что прилагаются усилия для обеспечения согласованности документации, а не в том, чтобы документация была идеальной.

    Documentation currency is a first-class, mechanically-enforced discipline — the project's core "SSOT" methodology (docs/00_06). Beyond "making an effort", the docs.yml CI workflow is the single home for structural doc gates that actively prevent drift: docs:check_refs (dangling cross-refs, deprecated/retired terms, owner-only vocabulary such as the RTC register map and Lorenz constants, ToC sync — 27 drift linters in lib/docs_linter.rb), tracker:check (the action-plan tracker), and a code↔doc registry gate (scripts/model_doc_sync.rb maps app/models and app/services 1:1 to their doc sections). Any documented value that drifts from the code fails CI. The one-home rule (one fact, one canonical doc — 00_06 §2) is the standing principle; known inconsistencies are tracked and fixed in docs/00_07.
    https://github.com/Alexey-Lukin/silken_net/blob/main/docs/00_06_SSOT_Documentation_Standard.md
    https://github.com/Alexey-Lukin/silken_net/blob/main/.github/workflows/docs.yml



    НЕОБХОДИМО размещать ссылку на любые свои достижения, включая этот значок передовой практики, на главной странице проекта и/или веб-сайте в течение 48 часов после открытого признания достижения. (Требуется URL) [documentation_achievements]
    Достижением считается любой набор внешних критериев, над выполнением которых проект специально работал, включая некоторые значки. Эта информация не обязательно должна находиться на главной странице веб-сайта проекта. Проект с использованием GitHub может помещать достижения на главную страницу хранилища кода, добавляя их в файл README.

    The repository front page (README) identifies and hyperlinks the project's achievements at the very top: the OpenSSF Best Practices badge (passing — project 13358) and the OpenSSF Scorecard badge, each linking to its source page. The badges are also on the wiki landing page (docs/00_00). They were added and updated as the badge progressed (in_progress → passing), within the 48-hour window.
    https://github.com/Alexey-Lukin/silken_net#readme


  • Общедоступность и интернационализация


    Проекту (как на сайтах проекта, так и в результатах работы проекта) СЛЕДУЕТ придерживаться передовой практики общедоступности, чтобы люди с ограниченными возможностями могли участвовать в проекте и использовать результаты проекта, где это имеет смысл. [accessibility_best_practices]
    Для веб-приложений см. Руководство по обеспечению доступности веб-контента (WCAG) 2.0 и его поддерживающий документ Understanding WCAG 2.0; см. также W3C accessibility information. Для приложений с графическим интерфейсом рассмотрите использование соответствующих вашему окружению рекомендаций по обеспечению доступности (таких как GNOME, KDE, XFCE, Android, iOS, Mac и Windows (на русском)). Некоторые приложения с текстовым интерфейсом пользователя (например, программы на ncurses) могут сделать некоторые вещи, чтобы сделать себя более доступными (например, параметр `force-arrow-cursor` в `alpine`). Большинство приложений командной строки довольно общедоступны как они есть. Этот критерий часто неприменим, например, для библиотек программ. Вот несколько примеров действий или проблем, которые следует учитывать:
    • Должны предоставляться текстовые альтернативы для любого нетекстового контента, так чтобы его можно изменить на другие необходимые формы, например крупная печать, шрифт Брайля, озвучка текста, символы или упрощенный язык (Understanding WCAG 2.0 guideline 1.1)
    • Цвет не должен использоваться в качестве единственного визуального средства передачи информации, указания на действие, запрос реакции пользователя или выделения визуальных элементов. (WCAG 2.0 guideline 1.4.1)
    • Визуальное представление текста и изображений текста должно иметь контрастность не менее 4,5:1, за исключением большого текста, случайного текста и логотипов (WCAG 2.0 guideline 1.4.3)
    • Все функциональные возможности должны быть доступны с клавиатуры (WCAG guideline 2.1)
    • GUI или веб-проект ДОЛЖНЫ тестировать, по крайней мере, одно средство чтения экрана на целевой платформе(ах) (например, NVDA, Jaws или WindowEyes в Windows; VoiceOver на Mac и iOS; Orca на Linux/BSD; TalkBack на Android). Программы с текстовым интерфейсом пользователя МОГУТ по возможности сокращать переписывание текста на экране, чтобы предотвратить лишнее чтение средствами чтения экрана.

    The web frontend (Phlex + Turbo + Tailwind) follows accessibility best practices: visible keyboard focus indicators via Tailwind focus-visible: utilities (used in ~48 components), ARIA semantics (role and aria-live attributes), light/dark theming plus prefers-reduced-motion and prefers-contrast media-query handling in the stylesheet, semantic Phlex components (navigation, pagination, locale switcher, mobile-nav toggle), and a design system that drives all colour through semantic tokens (supporting contrast and theme adaptation). The UI accessibility conventions are documented in docs/04_04 (Phlex UI & Tailwind).
    https://github.com/Alexey-Lukin/silken_net/blob/main/docs/04_04_Phlex_UI_and_Tailwind.md



    Проекту СЛЕДУЕТ интернационализировать создаваемое ПО, чтобы обеспечить легкую локализацию под культуру, регион или язык целевой аудитории. Выберите «неприменимо» (N/A), если интернационализация (i18n) не применяется (например, ПО не генерирует текст, предназначенный для конечных пользователей, и не сортирует текст, читаемый человеком), [internationalization]
    Локализация "относится к адаптации продукта, приложения или содержимого документа для соответствия языковым, культурным и другим требованиям конкретного целевого рынка (языковому стандарту)". Интернационализация - это «проектирование и разработка продукта, приложения или содержимого документа, которые позволяют легкую локализацию под целевые аудитории, различающиеся по культуре, региону или языку». (См. «Локализация по сравнению с интернационализацией» на веб-сайте W3C.) Чтобы ПО соответствовало этому критерию, достаточно лишь интернационализации. Не требуется локализация для другого конкретного языка, так как после того, как программное обеспечение было интернационализировано, другие могут работать над локализацией.

    The software is internationalized using Rails i18n: user-facing strings go through I18n.t (148 files) rather than being hardcoded, message catalogues live in config/locales (currently English, Ukrainian, Lithuanian and Latvian), and the UI includes a locale switcher component. Adding a new locale is a matter of dropping in another YAML catalogue — no code changes — exactly what this criterion asks for.
    https://github.com/Alexey-Lukin/silken_net/tree/main/config/locales


  • Другое


    Если на сайтах проекта (веб-сайт, хранилище и URL-адреса загрузки) хранятся пароли для аутентификации внешних пользователей, НЕОБХОДИМО хранить пароли как итерированные хеши с отдельной "солью" для каждого пользователя с использованием алгоритма (итерированного) растяжения ключа (например, Argon2id, Bcrypt, Scrypt или PBKDF2). Выберите «неприменимо» (N/A), если сайты проекта не хранят пароли для этой цели. [sites_password_security]
    Примечание: использование GitHub автоматически выполняет этот критерий. Этот критерий применяется только к паролям, используемым для аутентификации внешних пользователей на сайтах проекта (т.н. входящей аутентификации). Если сайты проекта должны подключаться к другим сайтам (т.н. исходящая аутентификация), им может потребоваться хранить аутентифицирующие данные (пароли, ключи) для этой цели как-то иначе (поскольку хранение контрольной суммы для этой цели бесполезно). В данном случае критерий crypto_password_storage применяется к сайтам проекта, по аналогии с критерием sites_https.

    The project's sites — the repository, the project home page (the GitHub wiki), and the download/release URLs — are all hosted on GitHub. As this criterion explicitly notes, the use of GitHub meets the requirement: external-user authentication and any password storage for these sites is handled by GitHub, not by the project. (Separately, the software produced by the project stores its own end-user passwords with Argon2id + per-user salt — covered under crypto_password_storage.)
    https://github.com/Alexey-Lukin/silken_net


 Управление изменениями 1/1

  • Предыдущие версии


    Проект ОБЯЗАН поддерживать наиболее часто используемые старые версии продукта или предоставлять возможность простого перехода на более новые версии (upgrade path). Если переход затруднен, проект ОБЯЗАН задокументировать порядок обновления (например, изменившиеся интерфейсы и подробные предлагаемые шаги для обновления). [maintenance_or_update]

    The project provides a clear upgrade path to newer versions. It uses Semantic Versioning (managed by release-please) and publishes a human-readable CHANGELOG documenting the features and fixes in each release, so users can see exactly what changed when moving between versions. The backend is a continuously-deployed service (users run the latest); the firmware and smart contracts follow the same versioned releases. At this stage (v0.x) upgrades are not breaking-complex, so updating to the newest release is the upgrade path, and any future breaking change will be documented in the CHANGELOG / release notes with the steps needed.
    https://github.com/Alexey-Lukin/silken_net/blob/main/CHANGELOG.md
    https://github.com/Alexey-Lukin/silken_net/releases


 Отчеты о проблемах 3/3

  • Процесс сообщения об ошибках


    Проект ОБЯЗАН использовать трекер вопросов (issue tracker) для отслеживания отдельных вопросов. [report_tracker]

    The project uses GitHub Issues as its issue tracker for individual issues.
    https://github.com/Alexey-Lukin/silken_net/issues


  • Процесс отчета об уязвимостях


    Проект ОБЯЗАН отмечать автора(-ов) всех отчетов об уязвимостях, разрешенных за последние 12 месяцев, за исключением авторов, которые просят об анонимности. Выберите «неприменимо» (N/A), если в течение последних 12 месяцев не было обнаружено никаких уязвимостей. (Требуется URL) [vulnerability_report_credit]

    N/A — no vulnerability reports have been received or resolved in the last 12 months (zero repository security advisories), so there are no reporters to credit. The credit practice for when a report is resolved is now documented in SECURITY.md ("Credit"): reporters are credited in the advisory and/or release notes unless they request anonymity.
    https://github.com/Alexey-Lukin/silken_net/blob/main/SECURITY.md



    Проект ОБЯЗАН иметь документированный процесс реагирования на отчеты об уязвимостях. (Требуется URL) [vulnerability_response_process]
    Этот критерий тесно связан с критерием vulnerability_report_process, который требует документированного способа для сообщения об уязвимостях. Он также связан с vulnerability_report_response, который требует ответа на отчеты об уязвимостях в течение определенного периода времени.

    The process for responding to vulnerability reports is documented in SECURITY.md: reports are received privately via GitHub Security Advisories, acknowledged within 72 hours, with a fix or mitigation for high-severity issues targeted within 14 days; the in-scope components, openly-tracked known limitations, and a safe-harbor statement are also included. The open security backlog is tracked in docs/00_07 (SEC.*).
    https://github.com/Alexey-Lukin/silken_net/blob/main/SECURITY.md


 Качество 19/19

  • Стандарты кодирования


    Проект ОБЯЗАН задать определенные правила стиля кодирования для основных языков, которые он использует, и требовать его соблюдения от предлагаемого кода. (Требуется URL) [coding_standards]
    В большинстве случаев это делается путем ссылки на некоторые существующие руководства по стилю, возможно, с перечислением различий. Эти руководства по стилю могут включать в себя способы повышения удобочитаемости и способы снижения вероятности дефектов (включая уязвимости). Многие языки программирования имеют один или несколько широко используемых руководств по стилю. Примеры руководств по стилю включают Руководство по стилю Google и Стандарты кодирования SEI CERT.

    The project identifies a specific coding style guide for each primary language, documented in CONTRIBUTING.md ("Coding standards"): Ruby — the Rails Omakase RuboCop style (.rubocop.yml inherits rubocop-rails-omakase); Python — Ruff (ruff.toml, a curated pycodestyle/pyflakes/isort/pyupgrade/bugbear ruleset); firmware C — -Wall -Wextra -Wpedantic + cppcheck (MISRA C:2012 advisory); Solidity — forge fmt; C# — .editorconfig (.NET conventions). Contributions are required to comply (CI must be green).
    https://github.com/Alexey-Lukin/silken_net/blob/main/CONTRIBUTING.md#requirements-for-acceptable-contributions



    Проект ОБЯЗАН автоматически применять свой выбранный стиль(и) кодирования, если есть хотя бы один инструмент на СПО, который может сделать это на выбранном языке (языках). [coding_standards_enforced]
    Это МОЖЕТ быть реализовано при помощи инструмента(ов) статического анализа и/или путем пропускания кода через средства переформатирования. Во многих случаях конфигурация инструмента включена в репозиторий проекта (так как разные проекты могут выбирать разные конфигурации). Проекты МОГУТ (и, как правило, будут) допускать исключения стиля; там, где происходят исключения, они ОБЯЗАНЫ быть редки и документированы в соответствующих местах кода, чтобы эти исключения можно было пересматривать и инструменты могли автоматически обрабатывать их в будущем. Примеры таких инструментов включают ESLint (JavaScript) и Rubocop (Ruby).

    The selected styles are enforced automatically in CI by FLOSS tools, and a contribution that violates them fails the build: RuboCop (Ruby) and Ruff (Python) in the ci.yml lint jobs, cppcheck for firmware C (firmware_lint), and forge fmt / Slither for Solidity (solidity_audit.yml). Tool configs live in the repo (.rubocop.yml, ruff.toml, contracts/foundry.toml, tools/cad/.editorconfig). Exceptions are rare and documented in code at their locations — e.g. inline // cppcheck-suppress with a reason, and fingerprinted, annotated entries in config/brakeman.ignore.
    https://github.com/Alexey-Lukin/silken_net/blob/main/.github/workflows/ci.yml


  • Рабочая система сборки


    Системы сборки для нативных двоичных файлов ОБЯЗАНЫ учитывать соответствующие переменные (среды) для компилятора и компоновщика, переданные им (например, CC, CFLAGS, CXX, CXXFLAGS и LDFLAGS) и передавать их на вызовы компилятора и компоновщика. Система сборки МОЖЕТ расширять их дополнительными флагами; НЕДОПУСТИМО просто заменять предоставленные значения своими. Выберите «неприменимо» (N/A), если нативные двоичные файлы не создаются. [build_standard_variables]
    Должно быть легко включить специальные функции сборки, такие как Address Sanitizer (ASAN), или выполнить рекомендации по упрочнению от дистрибутивов (например, путем простого включения флагов компилятора для этого).

    The native-binary build (firmware/test/Makefile) honors the compiler/linker variables passed in via the environment or command line: CC ?= gcc (a packager can pass CC=clang) and CFLAGS += <project flags> (env/CLI CFLAGS are honored and the project EXTENDS them with its mandatory -std=c11 -I., never replacing). The recipes are single-invocation gcc compile+link, so linker flags carried in CFLAGS (e.g. -Wl,-z,relro) reach the linker too — making it easy to enable ASAN or distribution-hardening flags. Verified: an env CFLAGS value passes through to the compiler, and CI (firmware_test) is green. (The Rails backend and Solidity contracts produce no native binaries.)
    https://github.com/Alexey-Lukin/silken_net/blob/main/firmware/test/Makefile



    В системах сборки и установки СЛЕДУЕТ сохранять отладочную информацию, если передаваемые флаги требуют этого (например, не используется «install -s»). Выберите «неприменимо» (N/A), если системы сборки или установки нет (например, для типичных библиотек JavaScript), . [build_preserve_debug]
    Например, установка CFLAGS (C) или CXXFLAGS (C++) должна создавать соответствующую информацию для отладки, если эти языки используются, и ее не следует удалять во время установки. Отладочная информация необходима для поддержки и анализа, а также полезна для того, чтобы определить наличие упрочняющих функций в скомпилированных двоичных файлах.

    The build preserves debugging information when requested: passing CFLAGS="-g" is honored by the Makefile (CFLAGS += extends the user's flags) so debug info is generated, and the firmware host tests run in place and are never installed with stripping (there is no "install -s" / strip step). The dedicated coverage (--coverage) and ASAN (-g) lanes also build with debug/instrumentation symbols. (The Rails backend and Solidity contracts have no native-binary build/install that strips symbols.)
    https://github.com/Alexey-Lukin/silken_net/blob/main/firmware/test/Makefile



    НЕДОПУСТИМО, чтобы система сборки ПО, создаваемого проектом, рекурсивно собирала подкаталоги, если в подкаталогах есть кросс-зависимости. Выберите «неприменимо» (N/A), если системы сборки или установки нет (например, типичные библиотеки JavaScript). [build_non_recursive]
    Информация о внутренних зависимостях системы сборки проекта должна быть точной, в противном случае изменения в проекте могут быть включены в сборку неправильно. Неправильные сборки могут привести к дефектам (включая уязвимости). Общей ошибкой в ​​больших системах сборки является использование «рекурсивной сборки» или «рекурсивного make», то есть иерархии подкаталогов, содержащих исходные файлы, где каждый подкаталог собирается независимо. Если только каждый из подкаталогов не является полностью независимым, это ошибка, потому что информация о зависимостях неверна.

    The build systems do not use recursive make over cross-dependent subdirectories. The only native build (firmware/test/Makefile) is a single, non-recursive Makefile: each target lists its full header/source dependencies and the shared firmware/common headers compile directly into each test via -I (no per-subdirectory independent builds). Its only $(MAKE) calls recurse into the same directory (the asan/coverage re-instrumented rebuilds), never into subdirectories, so the dependency information is complete and accurate. The other toolchains (Bundler, Foundry/forge, npm, conda) are not recursive-make either.
    https://github.com/Alexey-Lukin/silken_net/blob/main/firmware/test/Makefile



    Проект ОБЯЗАН быть в состоянии повторить процесс генерации информации из исходных файлов и получить такой же результат с точностью до бита. Выберите «неприменимо» (N/A), если в проекте не используется сборка (например, языки сценариев, в которых исходный код используется непосредственно вместо компиляции), . [build_repeatable]
    Пользователи GCC и clang могут найти полезной опцию -frandom-seed; в некоторых случаях это может быть разрешено путем задания определенного порядка сортировки. Дополнительные предложения можно найти на сайте Reproducible builds.

    Builds and code-generation are reproducible bit-for-bit, and CI enforces it. Generated firmware artifacts are checked against their source on every run: tools/ml/scripts/check_firmware_tables.py regenerates the log-mel tables and fails if they differ from the committed headers, and tools/firmware/check_bytecode.py verifies the committed lorenz_bytecode.h matches bio_contract.rb; QEMU jobs additionally assert host↔Cortex-M4 bit-parity. Solidity bytecode is deterministic — solc is pinned (solc_version = 0.8.35) with fixed optimizer settings (foundry.toml), so forge build reproduces the same bytecode. (The Rails backend is interpreted Ruby — no compiled artifact.)
    https://github.com/Alexey-Lukin/silken_net/blob/main/.github/workflows/ci.yml


  • Система установки


    Проект ОБЯЗАН предоставлять возможность легко установить и удалить ПО, создаваемое проектом, с использованием общепринятых способов. [installation_common]
    Примеры включают использование менеджера пакетов (на уровне системы или языка), «make install/uninstall» (с поддержкой DESTDIR), контейнер в стандартном формате или образ виртуальной машины в стандартном формате. Процесс установки и удаления (например, его упаковка) МОЖЕТ быть реализован третьей стороной, при условии что он построен на СПО.

    The software is installed via commonly-used conventions. The backend is packaged as a container in a standard format (Dockerfile, multi-stage build on ruby:4.0.5-slim) and deployed with Kamal (config/deploy.yml: image, registry, servers) — kamal setup / kamal deploy installs it, kamal remove uninstalls it. For development it installs at the language level via Bundler (bundle install) per the README Quick Start, and uninstalling is removing the directory/containers. The smart contracts deploy on-chain via Foundry scripts.
    https://github.com/Alexey-Lukin/silken_net/blob/main/Dockerfile
    https://github.com/Alexey-Lukin/silken_net#readme



    В системе установки для конечных пользователей НЕОБХОДИМО учитывать стандартные соглашения при выборе места, в которое собранные артефакты записываются при установке. Например, если она устанавливает файлы в системе POSIX, НЕОБХОДИМО учитывать переменную окружения DESTDIR. Если установочной системы или стандартного соглашения нет, выберите «неприменимо» (N/A). [installation_standard_variables]

    N/A — the project has no installation system that writes built artifacts to a
    user-selectable location, so the DESTDIR/PREFIX convention does not apply. The
    end-user software (the D-MRV Rails platform) is delivered as a self-contained
    container image (Docker, deployed by Kamal — config/deploy.yml) or run in place
    from its working directory after a Bundler install; neither has a DESTDIR/PREFIX
    step. There is no make install / PREFIX / DESTDIR target anywhere in the repo.
    The one first-party Python package (tools/ml, "silken-ml") is internal ML tooling
    run in place (PYTHONPATH=src) or via an editable pip install -e inside a conda
    env — an editable install links the source tree rather than writing built
    artifacts to a chosen location — so it is not an end-user installation system
    either. (CMSIS-DSP and mruby ship their own packaging but are vendored
    third-party submodules, not this project's installation system.)



    Проект ОБЯЗАН предоставить возможность потенциальным разработчикам быстро установить все результаты проекта и поддерживать среду, необходимую для внесения изменений, включая тесты и тестовое окружение. Проект ОБЯЗАН использовать для этого общепринятые соглашения. [installation_development_quick]
    Это МОЖЕТ быть реализовано при помощи сгенерированного контейнера или установочных сценариев. Внешние зависимости обычно устанавливаются путем вызова системных и/или языковых пакетов, как описано в критерии external_dependencies.

    bin/setup (the standard idempotent Rails dev-bootstrap script — runs
    bundle install, bin/rails db:prepare, clears logs, starts the dev server).
    The README "Quick Start" documents the system-package prerequisites, the same
    steps, and how to run the test suite (bundle exec rspec). The repo is polyglot,
    so each domain installs its support + test environment via its standard language
    package manager, all listed in CONTRIBUTING.md: Bundler for Ruby/Rails (tests:
    rspec); npm ci + Foundry for the Solidity contracts (tests: forge test); a
    conda environment file for the Python in-silico/ML tooling
    (tools/*/environment.yml); and make -C firmware/test for the host-based
    firmware tests (no ARM toolchain needed). A Dockerfile is also provided as the
    generated-container path.
    https://github.com/Alexey-Lukin/silken_net/blob/main/bin/setup
    https://github.com/Alexey-Lukin/silken_net/blob/main/CONTRIBUTING.md
    https://github.com/Alexey-Lukin/silken_net#readme


  • Компоненты, поддерживаемые извне


    Проект ОБЯЗАН перечислять внешние зависимости в машинночитаемом виде. (Требуется URL) [external_dependencies]
    Обычно это делается при помощи инструкций для диспетчера пакетов и/или системы сборки. Обратите внимание, что это помогает реализовать критерий installation_development_quick.


    Проекты ОБЯЗАНЫ следить за своими внешними зависимостями или периодически проверять их (включая копии, сделанные для удобства) на предмет известных уязвимостей, а также исправлять уязвимости, которые могут быть использованы, или проверять невозможность их использования. [dependency_monitoring]
    Это можно сделать с помощью средств анализа происхождения/зависимостей, например Dependency-Check от OWASP, Nexus Auditor от Sonatype, Protex от Black Duck , Protecode от Synopsys и Bundler-аудит (для Ruby). Некоторые менеджеры пакетов включают в себя соответствующие механизмы. Допустимо оставлять уязвимость, если ее невозможно использовать, но такой анализ труден, и временами проще просто обновить или исправить эту часть кода.

    External dependencies are monitored continuously and on every CI run across
    the polyglot stack:

    • Dependabot (.github/dependabot.yml) — weekly, 5 ecosystems: bundler (gems),
      docker (base-image tag+digest), github-actions, npm (contracts/), terraform.
    • bundler-audit (the OpenSSF-listed Ruby SCA tool) runs in CI on every push
      (.github/workflows/ci.yml) against the ruby-advisory-db; brakeman runs SAST.
    • Slither runs SCA / static analysis on the Solidity contracts
      (.github/workflows/solidity_audit.yml).
    • OpenSSF Scorecard runs weekly + on push (.github/workflows/scorecard.yml) and
      publishes results; its Vulnerabilities check queries osv.dev and its
      Dependency-Update-Tool check confirms Dependabot is active.
      The conda-managed Python research tooling and the pinned git-submodule vendored
      C libraries are not on Dependabot, but they are development/in-silico only and
      sit outside the deployed runtime trust boundary (the production service is the
      Rails app + its gems + the Docker base image, all of which are monitored).
      https://github.com/Alexey-Lukin/silken_net/blob/main/.github/dependabot.yml
      https://github.com/Alexey-Lukin/silken_net/blob/main/.github/workflows/scorecard.yml


    Проект ОБЯЗАН:
    1. позволять легко идентифицировать и обновлять повторно используемые компоненты, поддерживаемые извне; или
    2. использовать стандартные компоненты, предоставляемые системой или языком программирования.
    В этом случае, если уязвимость обнаружена в повторно используемом компоненте, будет легко обновить этот компонент. [updateable_reused_components]
    Типичным способом выполнить этот критерий является использование предоставляемых операционной системой и языком программирования систем управления пакетами. Многие свободные программы распространяются с «подсобными библиотеками», которые являются локальными копиями стандартных библиотек (возможно, форков библиотек). Само по себе это нормально. Однако, если программа *должна* использовать эти локальные копии/форки, то обновление «стандартных» библиотек через системное обновление безопасности оставит эти дополнительные копии по-прежнему уязвимыми. Это особенно актуально для облачных систем; если провайдер облака обновляет свои «стандартные» библиотеки, но программа их не собирается использовать, обновления фактически не помогут. См., например, "Chromium: Why it isn't in Fedora yet as a proper package" от Тома Каллавея.

    Met (via both routes — standard package managers and easy-to-update pins; no
    forked convenience copies). Every reused component is identified in a
    computer-processable manifest and updated by a standard mechanism:

    • Gems (Gemfile/lock, bundle update), npm for contracts, conda for the Python
      tooling, .NET PackageReference, and JS via Rails importmap (bin/importmap pin).
    • Vendored C/firmware + CAD libraries are git submodules pinned to the CANONICAL
      UPSTREAM repositories (.gitmodules: ARM-software/CMSIS, mruby/mruby,
      LoupVaillant/Monocypher, STMicroelectronics HAL, leap71) — they are not forks,
      so a security fix is applied by bumping the submodule pin to a new upstream tag.
    • Front-end JS is supplied by the Rails framework gems (turbo/stimulus/activestorage)
      plus one version-explicit CDN pin (leaflet@1.9.4), updateable via bin/importmap.
    • OpenSSL and PostgreSQL are standard system components.
      Dependabot automates update PRs for the package-managed ecosystems weekly, so a
      vulnerable reused component is straightforward to update.
      https://github.com/Alexey-Lukin/silken_net/blob/main/.gitmodules
      https://github.com/Alexey-Lukin/silken_net/blob/main/.github/dependabot.yml


    Проекту СЛЕДУЕТ избегать использования нерекомендуемых (deprecated) или устаревших (obsolete) функций и API в тех случаях, когда альтернативы на СПО доступны в используемом наборе технологий («стек технологий» проекта) и для подавляющего большинства пользователей, поддерживаемых проектом (т.е. так чтобы пользователи могли быстро воспользоваться этой альтернативой). [interfaces_current]

    Met. The project runs a current technology stack (Ruby 4.0.5, Rails 8.1,
    PostgreSQL 17, Solidity 0.8.35 / EVM cancun, .NET 9) — no EOL or obsolete
    frameworks — and actively flags deprecated/obsolete APIs in CI so the FLOSS-current
    alternative is used:


  • Набор автотестов


    НЕОБХОДИМО применять автоматический набор тестов к каждому коммиту в общий репозиторий по крайней мере для одной ветки. Этот набор тестов ОБЯЗАН создавать отчет об успешном или неудачном тестировании. [automated_integration_testing]
    Это требование можно рассматривать как подмножество test_continuous_integration, но сосредоточенное только на тестировании, без требования непрерывной интеграции.

    Met. A GitHub Actions automated test suite runs on every check-in — triggered on
    push to main and on every pull_request (.github/workflows/ci.yml) — and
    produces a pass/fail report via the Actions checks UI and the ci-ok aggregate
    required check. The suite spans the polyglot stack: RSpec for the Rails backend
    (bundle exec rspec), the firmware host-test suite (make -C firmware/test, plus
    an ASan/UBSan lane), Foundry forge test for the Solidity contracts
    (solidity_audit.yml), and language smoke workflows (ml_smoke, in_silico_smoke,
    cad_smoke, coap_smoke).
    https://github.com/Alexey-Lukin/silken_net/blob/main/.github/workflows/ci.yml
    https://github.com/Alexey-Lukin/silken_net/actions



    Проект ОБЯЗАН добавить регрессионные тесты к автоматизированному набору тестов по крайней мере на 50% ошибок, исправленных в течение последних шести месяцев. [regression_tests_added50]

    Met. The standing practice is to land a bug fix together with a regression test in
    the same commit/PR. An audit of the bug-fix commits over the last six months shows
    a clear majority shipped with a test change in the same commit; the share is higher
    for the shipped product code (Rails backend, firmware, smart contracts) — e.g.
    "Fix OTA packager 8-bit overflow + implement missing CRC16" (firmware host tests),
    "fix: rollback receipt envelope, OTA HMAC trailer, Celo double-pay" (RSpec),
    "fix(queen): FW.51 — telemetry not lost on CoAP-flush failure" (firmware host
    tests), "Fix double-anchoring risk in EthereumAnchorWorker" (RSpec). Regression
    tests live in the automated suites: RSpec (spec/), firmware host tests
    (firmware/test/), and Foundry (contracts/test/). A class of in-silico
    research-script tuning fixes (simulation NaN/SCF convergence) are not
    unit-regression-testable and are outside the shipped-product bug count.
    https://github.com/Alexey-Lukin/silken_net/tree/main/spec
    https://github.com/Alexey-Lukin/silken_net/blob/main/CONTRIBUTING.md#requirements-for-acceptable-contributions



    Проект ОБЯЗАН иметь автоматические тестовые пакеты на СПО, которые обеспечивают покрытие не менее 80% инструкций кода, если есть хотя бы один инструмент на СПО, который может измерять этот критерий на выбранном языке. [test_statement_coverage80]
    Для измерения тестового покрытия существует множество средств на СПО, включая gcov/lcov, Blanket.js, Istanbul и JCov. Обратите внимание, что соответствие этому критерию не является гарантией того, что тестовый пакет является исчерпывающим; вместо этого, несоответствие этому критерию является сильным индикатором плохого набора тестов.

    The Ruby/Rails backend — the bulk of the codebase — is measured by SimpleCov
    (FLOSS, with branch coverage enabled), and the full CI suite enforces a hard gate of
    minimum_coverage line: 99, branch: 95 (spec/spec_helper.rb): the build fails below
    99% statement coverage, well above the 80% bar. A per-group tripwire additionally
    floors Services/Workers/Models at ~99% line so no single area can erode while the
    global average holds. The other languages are measured with FLOSS coverage tools too:
    the firmware C host suite via gcov/lcov (make -C firmware/test coverage) and the
    Solidity contracts via forge coverage --report lcov (→ Codecov). The coverage-scope
    policy is documented in docs/04_06 §B.
    https://github.com/Alexey-Lukin/silken_net/blob/main/spec/spec_helper.rb
    https://github.com/Alexey-Lukin/silken_net/blob/main/.github/workflows/ci.yml


  • Тестирование новых функций


    Проект ОБЯЗАН иметь формальную задокументированную политику о том, что при добавлении существенной новой функциональности НЕОБХОДИМО добавлять тесты для новой функциональности в набор автоматических тестов. [test_policy_mandated]

    The project has a formal written testing policy in CONTRIBUTING.md
    ("Requirements for acceptable contributions"): "Tests are mandatory for new
    functionality (project policy). When you add or change functionality you MUST add
    or update automated tests; as major new functionality is added, tests for it MUST
    be added to the relevant automated suite (RSpec / Foundry forge / firmware host
    tests). A pull request that adds major new functionality without accompanying
    tests will not be merged." The policy is backed in practice by the project's
    regression-test record (see regression_tests_added50) and the SimpleCov 99%
    line-coverage gate enforced in CI.
    https://github.com/Alexey-Lukin/silken_net/blob/main/CONTRIBUTING.md#requirements-for-acceptable-contributions



    Проект ОБЯЗАН включать в свои документированные инструкции для предложений об изменениях политику, по которой для существенной новой функциональности должны добавляться тесты. [tests_documented_added]
    Однако даже неформальное правило приемлемо, если тесты добавляются на практике.

    The add-tests policy is documented in CONTRIBUTING.md under "Requirements for acceptable contributions".
    https://github.com/Alexey-Lukin/silken_net/blob/main/CONTRIBUTING.md#requirements-for-acceptable-contributions


  • Флаги предупреждений


    Проекты ОБЯЗАНЫ быть максимально строгими с предупреждениями в ПО, создаваемом проектом, где это целесообразно. [warnings_strict]
    Некоторые предупреждения не могут быть эффективно задействованы в некоторых проектах. Что необходимо в этом критерии - это доказательства того, что проект стремится включать флаги предупреждений там, где это возможно, чтобы ошибки обнаруживались на ранней стадии.

    Met — strict where practical, enforced in CI across every language:

    • Firmware C: compiled with -Wall -Wextra -Wpedantic (-std=c11); cppcheck is a hard
      CI gate (firmware_lint: --enable=warning,performance,portability,style,
      --error-exitcode=1, MISRA C:2012 addon, --check-level=exhaustive), plus an
      ASan/UBSan runtime lane.
    • Ruby: RuboCop (rails-omakase) gates CI and fails on any offense.
    • Python: Ruff's strict rule-set (E/W/F/I/UP/B/C4/SIM/RUF) gates CI, and the test
      suite escalates DeprecationWarning to an error.
    • Solidity: forge fmt --check and Slither static analysis gate CI.
    • Security SAST: Brakeman gates CI.
    • .NET CAD: default .NET analyzers run on the first-party code; strictness is
      relaxed only in the third-party LEAP71 wrapper, where it is not practical.
      https://github.com/Alexey-Lukin/silken_net/blob/main/firmware/test/Makefile
      https://github.com/Alexey-Lukin/silken_net/blob/main/.github/workflows/ci.yml

 Безопасность 13/13

  • Знание безопасной разработки


    Проект ОБЯЗАН реализовывать принципы безопасного дизайна (из критерия «know_secure_design»), где это применимо. Выберите «неприменимо» (N/A), если проект не создает программное обеспечение. [implement_secure_design]
    Например, результаты проекта должны иметь отказоустойчивые значения по умолчанию (доступ по умолчанию должен быть запрещен, а установка проектов по умолчанию должна быть в защищенной конфигурации). Также должно использоваться полное отграничение (любой доступ, который может быть ограничен, должен проверяться на достаточность прав доступа и не иметь обходных путей). Обратите внимание, что в некоторых случаях принципы будут противоречить друг другу, и в этом случае необходимо делать выбор (например, многочисленность механизмов может усложнять дизайн, противореча принципу экономичности/простоты механизма).

    Met. Secure design principles are implemented across the stack:

    • Fail-safe / deny-by-default: minting refuses unless every condition holds —
      BlockchainMintingService raises "Security Breach" unless the telemetry is
      verified_by_iotex?, oracle_status_fulfilled?, and KYC-approved; in production
      WEB3_STRICT_MODE=true turns missing security config (e.g. CHAINLINK_HMAC_SECRET)
      into a hard raise instead of a silent fallback.
    • Secure by default (deployment): production enforces config.force_ssl + HSTS
      (preload, 1-year, subdomains), a Content-Security-Policy with a per-request
      nonce, X-Frame-Options: DENY, X-Content-Type-Options: nosniff, a Permissions-
      Policy, and session cookies set httponly + same_site:lax + secure.
    • Complete mediation: per-resource Pundit policies (app/policies/*) plus role gates
      in the API base controller (authorize_admin!/super_admin!/forester!); thin
      controllers and AASM state machines make state changes non-bypassable.
    • Least privilege / separation of privilege: on-chain roles are split and gated by
      onlyRole(...), admin actions are routed through a Timelock, and mint()/slash()
      run on physically separate keys (MINTER_ROLE vs SLASHER_ROLE).
    • Defense in depth: a manual_review double-spend guard freezes funds when a
      transaction state is unknown; anomaly/tamper telemetry is zeroed for minting in
      BOTH firmware and backend; no weak crypto is used (no MD5/SHA-1/DES/RC4) —
      Argon2id passwords, an HKDF/HMAC key ratchet (NIST SP 800-108), AES + Ed25519.
    • Economy of mechanism: an explicit YAGNI "lazy-senior" ladder + Ruthless Pruning
      keep mechanisms minimal (CLAUDE.md §4), with input validation at trust boundaries.

    https://github.com/Alexey-Lukin/silken_net/blob/main/docs/03_05_Hardware_Symmetric_Crypto_and_Security.md
    https://github.com/Alexey-Lukin/silken_net/blob/main/config/environments/production.rb


  • Основы правильного использования криптографии

    Обратите внимание, что некоторое ПО не нуждается в использовании криптографических механизмов.

    В ПО, создаваемом проектом, НЕДОПУСТИМО делать механизмы безопасности по умолчанию зависимыми от криптографических алгоритмов или режимов с известными серьезными слабостями (например, криптографический алгоритм хеширования SHA-1 или режим CBC в SSH). [crypto_weaknesses]
    Проблемы, связанные с режимом CBC в SSH, обсуждаются в описании уязвимости CERT: SSH CBC.

    Verified across the whole stack — no algorithms with serious known weaknesses are used. Hashes: SHA-256 / HMAC-SHA256 (keccak256 in contracts); no SHA-1 or MD5 anywhere. Password hashing: Argon2id. Signatures: Ed25519. RNG: SecureRandom (backend) + hardware TRNG (firmware). The CoAP backhaul is AES-256-CBC with a fresh random IV per message (semantic security; not the SSH-CBC weakness); the LoRa target is authenticated AES-128-CCM. The only weak mode is the transitional LoRa AES-128-ECB, whose risk and mitigations are documented in docs/03_05 and which is migrating to AES-128-CCM (FW.2).
    https://github.com/Alexey-Lukin/silken_net/blob/main/docs/03_05_Hardware_Symmetric_Crypto_and_Security.md



    Проекту СЛЕДУЕТ поддерживать несколько криптографических алгоритмов, чтобы пользователи могли быстро переключиться, если один из них поврежден. Общие симметричные ключевые алгоритмы включают AES, Twofish и Serpent. Общие алгоритмы контрольных сумм (хешей) включают SHA-2 (SHA-224, SHA-256, SHA-384 и SHA-512) и SHA-3. [crypto_algorithm_agility]

    Met (SHOULD). The project uses multiple cryptographic algorithm families and is
    built to switch primitives rather than hard-wiring one:

    • Hashes: both SHA-2 (SHA-256 — backend integrity, HMAC-SHA256, HKDF, audit-log
      hash chain, firmware) and SHA-3 (keccak256 — Solidity roles/parameter keys and
      Eth::Util.keccak256 on the backend) are in active use.
    • Signatures: two schemes — Ed25519 (SE050 device attestation, peaq DID, M2M auth)
      and secp256k1/ECDSA (EVM chains, IoTeX verification).
    • Symmetric: AES in four selectable modes (ECB, CCM, CBC, GCM). The backend names
      the cipher as an OpenSSL string (OpenSSL::Cipher.new("aes-256-cbc")), so switching
      to any OpenSSL-supported cipher is a one-line change, and the live
      ECB->authenticated-CCM migration is runtime-selectable via the
      TELEMETRY_CCM_ENABLED / FW2_CCM_ENABLED flags — a working demonstration of
      switching a primitive when one is found weak. A documented PQC migration roadmap
      (docs/03_05 §10) plans the post-quantum transition.
      The symmetric cipher is AES (not Twofish/Serpent) because the STM32 nodes are bound
      to the hardware AES engine; agility there is at the mode level plus the documented
      migration roadmap.
      https://github.com/Alexey-Lukin/silken_net/blob/main/docs/03_05_Hardware_Symmetric_Crypto_and_Security.md


    Проект ОБЯЗАН поддерживать хранение данных для аутентификации (например, паролей и динамических токенов) и закрытых криптографических ключей в файлах, отдельных от остальной информации (например, файлов конфигурации, баз данных и журналов) и позволять пользователям их обновление и замену без перекомпиляции кода. Выберите «неприменимо» (N/A), если проект никогда не работает с данными аутентификации и закрытыми криптографическими ключами. [crypto_credential_agility]

    Met. Credentials and private keys are stored in dedicated files/stores — separate
    from code, in-repo config, the database, and logs — and are replaceable at runtime
    without recompiling (Ruby is interpreted; secrets are read at boot):

    • App secrets (DB password, API/RPC keys, the Chainlink HMAC secret, etc.) live in
      Rails' encrypted credentials (config/credentials.yml.enc) decrypted by a separate
      config/master.key, and/or in environment variables (config/database.yml and code
      read them via ENV.fetch / Rails.application.credentials). master.key and .env* are
      git-ignored; at deploy RAILS_MASTER_KEY and other secrets are injected via Kamal
      secrets (.kamal/secrets) from the environment / a secrets manager, never committed.
    • User passwords are stored only as Argon2id hashes (HasArgon2Password concern,
      OWASP-recommended), never in plaintext.
    • Private cryptographic keys are rotatable without code changes: a key ratchet
      (Cryptography::KeyRatchet), an OTA HMAC-key service, and an over-the-air
      key-rotation worker replace device keys at runtime; the SE050 secure element holds
      non-extractable keys.
    • Secrets are kept out of logs by an explicit filter_parameters allowlist
      (passwords, tokens, *_key, private_key, mnemonic, wallet_private_key, signature…).
      https://github.com/Alexey-Lukin/silken_net/blob/main/.kamal/secrets
      https://github.com/Alexey-Lukin/silken_net/blob/main/config/initializers/filter_parameter_logging.rb


    В ПО, создаваемом проектом, СЛЕДУЕТ поддерживать безопасные протоколы для всех сетевых коммуникаций, такие как SSHv2 или новее, TLS1.2 или новее (HTTPS), IPsec, SFTP и SNMPv3. По умолчанию СЛЕДУЕТ отключать небезопасные протоколы, такие как FTP, HTTP, telnet, SSLv3 или более ранние версии, и SSHv1, и разрешать их только в том случае, если пользователь явным образом это задаёт. Если программное обеспечение, созданное проектом, не поддерживает сетевые коммуникации, выберите «неприменимо» (N/A). [crypto_used_network]

    Met (SHOULD). All IP/web network communications use TLS by default and no insecure
    protocol is enabled:

    • The web app and API enforce HTTPS in production (config.force_ssl = true) with
      HSTS (1 year, includeSubdomains, preload) and assume_ssl behind the TLS-terminating
      Kamal proxy (Let's Encrypt, TLS 1.2/1.3). HTTP is redirected to HTTPS.
    • All outbound calls use HTTPS — chain RPC (Alchemy/Infura), Chainlink Functions,
      IoTeX and peaq endpoints — with default certificate verification (no VERIFY_NONE).
    • A scan of the code finds no FTP, telnet, SSLv3/earlier, SSHv1, or plain-HTTP
      endpoints.
      For the constrained IoT radio link (Soldier->Queen LoRa, Queen->Rails CoAP) TLS/DTLS
      is not feasible on a tens-of-bytes LoRa frame, so confidentiality and integrity are
      provided at the application layer with AES: AES-128-CCM (authenticated; the
      LoRaWAN/Zigbee/Thread/BLE golden standard for constrained IoT) on the LoRa link and
      AES-256-CBC with a per-message random IV on the CoAP backhaul. This design — and why
      heavier schemes such as Kyber do not fit the radio MTU — is documented in docs/03_05.
      The transitional AES-128-ECB LoRa mode is documented and is migrating to AES-128-CCM.
      https://github.com/Alexey-Lukin/silken_net/blob/main/config/environments/production.rb
      https://github.com/Alexey-Lukin/silken_net/blob/main/docs/03_05_Hardware_Symmetric_Crypto_and_Security.md


    Если ПО, создаваемое проектом, поддерживает или использует TLS, ему СЛЕДУЕТ поддерживать как минимум версию TLS 1.2. Примечание: предшественник TLS называется SSL. Если программное обеспечение не использует TLS, выберите «неприменимо» (N/A). [crypto_tls12]

    Met (SHOULD). The project uses TLS and supports TLS 1.2+ everywhere; nothing is
    configured to allow TLS 1.1 or earlier:

    • Inbound HTTPS is terminated by the Kamal proxy with automatic Let's Encrypt
      certificates (config/deploy.yml, proxy ssl: true); the proxy (Go crypto/tls)
      negotiates TLS 1.2/1.3 and does not offer TLS 1.0/1.1. The Rails app enforces it
      with config.force_ssl = true and HSTS (1 year, includeSubdomains, preload) in
      production.rb, so HTTP is redirected to HTTPS.
    • Outbound HTTPS (chain RPC, Chainlink, IoTeX, peaq) is made by Ruby 4.0.5 on
      OpenSSL 3.6.2, which negotiates TLS 1.2/1.3 by default and has TLS 1.0/1.1
      disabled; no client sets a lower ssl_version/min_version.
      No SSLv2/SSLv3 or TLS 1.1-or-earlier is configured or supported anywhere in the stack.
      https://github.com/Alexey-Lukin/silken_net/blob/main/config/environments/production.rb
      https://github.com/Alexey-Lukin/silken_net/blob/main/config/deploy.yml


    В ПО, создаваемом проектом, НЕОБХОДИМО выполнять проверку сертификата TLS по умолчанию при использовании TLS, в том числе в подресурсах. Если программное обеспечение не использует TLS, выберите «неприменимо» (N/A). [crypto_certificate_verification]
    Обратите внимание, что неправильная проверка сертификата TLS является распространенной ошибкой. Для дальнейших сведений см. "The Most Dangerous Code in the World: Validating SSL Certificates in Non-Browser Software" Мартина Георгиева и др. и "Do you trust this application?" Майкла Катанзаро.

    Met. TLS certificate verification is left at the secure default everywhere and is
    never disabled. A scan of the entire repository (app, lib, config, scripts, firmware,
    tools, contracts) finds no VERIFY_NONE, verify: false, ssl_verify false,
    verify_peer: false, "insecure", curl -k, or --no-check-certificate — nothing
    overrides certificate verification.

    • Outbound HTTPS uses standard clients at their defaults: the eth gem (Eth::Client,
      over Net::HTTP) for chain RPC and HTTPX for other services, both of which verify the
      server certificate by default (OpenSSL VERIFY_PEER) for https URLs. No custom
      SSLContext or verify_mode is set anywhere.
    • Subresources in the web UI (importmap JS, Leaflet) are loaded over HTTPS and a
      Content-Security-Policy restricts their origins, so the browser performs normal
      certificate verification on them as well.
      https://github.com/Alexey-Lukin/silken_net/blob/main/config/initializers/content_security_policy.rb


    В ПО, создаваемом проектом, НЕОБХОДИМО, если поддерживается TLS, выполнять проверку сертификата TLS по умолчанию при использовании TLS, в том числе в подресурсах. Если программное обеспечение не использует TLS, выберите «неприменимо» (N/A). [crypto_verification_private]

    Met. Private information is only sent over a connection whose certificate has been
    verified:

    • Server side: session cookies are flagged secure in production
      (config/initializers/session_store.rb: secure: Rails.env.production?, plus httponly
      and same_site: :lax), and config.force_ssl = true with HSTS (1 year,
      includeSubdomains, preload) guarantees the browser transmits the cookie only over
      HTTPS after verifying the server certificate, and never over plain HTTP (HSTS
      preload blocks downgrade).
    • Client side: outbound requests carrying private headers (e.g. Authorization: Bearer
      API keys to dClimate/Filecoin, the Chainlink HMAC signature, M2M tokens) are sent
      over HTTPS via Net::HTTP/HTTPX with default certificate verification (OpenSSL
      VERIFY_PEER), which is never disabled anywhere in the codebase — the TLS handshake,
      including certificate validation, completes before the request headers are sent.
      https://github.com/Alexey-Lukin/silken_net/blob/main/config/initializers/session_store.rb
      https://github.com/Alexey-Lukin/silken_net/blob/main/config/environments/production.rb

  • Безопасный выпуск


    Проект ОБЯЗАН криптографически подписывать выпуски результатов проекта, предназначенные для широкого использования, и ОБЯЗАН иметь задокументированный процесс, объясняющий пользователям, как они могут получить общедоступные ключи подписи и проверить подпись(и) выпусков. НЕДОПУСТИМО размещать закрытый ключ для этих подписей на сайте(сайтах), используемом для прямого распространения ПО для общественности. Выберите «неприменимо» (N/A), если выпуски не предназначены для широкого использования. [signed_releases]
    Результаты проекта включают как исходный код, так и любые сгенерированные результаты, если это применимо (например, исполняемые файлы, пакеты и контейнеры). Сгенерированные результаты МОГУТ быть подписаны отдельно от исходного кода. Подписывание МОЖЕТ быть реализовано как подписанные теги git (с использованием криптографических цифровых подписей). Проекты МОГУТ предоставлять генерируемые результаты отдельно от таких инструментов, как git, но в этих случаях отдельные результаты ОБЯЗАНЫ быть отдельно подписаны.

    Met. The project's public generated deliverable — the production container image
    mirrored to GHCR (ghcr.io/alexey-lukin/silken_net) for widespread use (e.g. Akash
    providers) — is cryptographically signed with a Sigstore-keyless SLSA
    build-provenance attestation produced by actions/attest-build-provenance in
    .github/workflows/mirror-ghcr.yml (GitHub Actions OIDC → Fulcio, logged in the
    public Rekor transparency log) and pushed to the registry alongside the image. The
    signing key is ephemeral (Fulcio-issued per build, never stored) — it is not on the
    distribution site. The documented user verification process is in SECURITY.md
    ("Verifying release artifacts"): gh attestation verify
    oci://ghcr.io/alexey-lukin/silken_net:<tag> --owner Alexey-Lukin. Source-tree
    commit/tag signing is tracked separately (OPS.10).
    https://github.com/Alexey-Lukin/silken_net/blob/main/.github/workflows/mirror-ghcr.yml
    https://github.com/Alexey-Lukin/silken_net/blob/main/SECURITY.md



    ЖЕЛАТЕЛЬНО, чтобы в системе контроля версий каждый важный тег версии (тег, который является частью основного выпуска, минорной версии или исправляет общедоступные уязвимости) подписывался криптографической подписью и поддавался проверке, как описано в критерииsigned_releases. [version_tags_signed]

    Met. The project's public generated deliverable — the production container image
    mirrored to GHCR (ghcr.io/alexey-lukin/silken_net) for widespread use (e.g. Akash
    providers) — is cryptographically signed with a Sigstore-keyless SLSA
    build-provenance attestation produced by actions/attest-build-provenance in
    .github/workflows/mirror-ghcr.yml (GitHub Actions OIDC → Fulcio, logged in the
    public Rekor transparency log) and pushed to the registry alongside the image. The
    signing key is ephemeral (Fulcio-issued per build, never stored) — it is not on the
    distribution site. The documented user verification process is in SECURITY.md
    ("Verifying release artifacts"): gh attestation verify
    oci://ghcr.io/alexey-lukin/silken_net:<tag> --owner Alexey-Lukin. Source-tree
    commit/tag signing is tracked separately (OPS.10).
    https://github.com/Alexey-Lukin/silken_net/blob/main/.github/workflows/mirror-ghcr.yml
    https://github.com/Alexey-Lukin/silken_net/blob/main/SECURITY.md


  • Другие вопросы безопасности


    В результатах проекта НЕОБХОДИМО проверять любой ввод из потенциально ненадежных источников, чтобы убедиться, что они действительны (*белый список*), и отклонять недействительный ввод, если вообще есть какие-либо ограничения на данные. [input_validation]
    Обратите внимание, что сравнения ввода со списком «плохих форматов» (также известным как *черный список*) обычно недостаточно, потому что злоумышленники часто могут обойти черный список. В частности, числа преобразуются во внутренние форматы, а затем проверяются, находятся ли они между их минимальным и максимальным (включительно), а текстовые строки проверяются, чтобы убедиться, что они являются допустимыми текстовыми шаблонами (например, действительный UTF-8, длина, синтаксис и т. д.). От некоторых данных может требоваться, чтобы они были «хоть чем-нибудь» (например, загрузчик файлов), но такое обычно случается редко.

    Met — input is validated with an allowlist approach at every untrusted boundary:

    • HTTP/API: Rails strong parameters (params.require(...).permit(...)) accept only an
      explicit allowlist of attributes; everything else is dropped. Models add
      allowlist-style validations enforced before persistence — numbers are range-checked
      (actuator_command duration numericality: { greater_than: 0, less_than_or_equal_to:
      3600 }, ai_insight scores { in: 0.0..100.0 } / { in: 0.0..1.0 }), values are
      constrained to allowlists (inclusion: { in: %w[evm solana celo] }, inclusion: { in:
      HARDWARE_TYPES }), and strings are checked for syntax/length (format: { with: ... }
      for hex addresses/bytecode, length: { maximum: ... }). Invalid records are rejected.
    • Untrusted IoT telemetry (binary LoRa/CoAP): TelemetryUnpackerService validates the
      decoded packet (valid_sensor_data?) before processing and rejects malformed or
      out-of-range frames; it also enforces a SEC.10 panic-replay counter and CCM
      key-size checks.
    • On-chain (Solidity): every external function guards its inputs with require(...) —
      non-zero addresses, array-length equality, batch-size bounds (<= MAX_BATCH_SIZE),
      positive amounts — reverting on invalid input.
    • Oracle callbacks (Chainlink) are authenticated by HMAC before their payload is
      accepted.

    https://github.com/Alexey-Lukin/silken_net/blob/main/app/models/blockchain_transaction.rb
    https://github.com/Alexey-Lukin/silken_net/blob/main/app/services/telemetry_unpacker_service.rb



    В ПО, создаваемом проектом, СЛЕДУЕТ использовать механизмы упрочнения безопасности (hardening), чтобы дефекты программного обеспечения с меньшей вероятностью приводили к уязвимостям в безопасности. [hardening]
    Механизмы упрочнения могут включать HTTP-заголовки, такие как Content Security Policy (CSP), флаги компилятора для противостояния атакам (например, -fstack-protector) или флаги компилятора, устраняющие неопределенное поведение. Для наших целей политика наименьших привилегий не считается механизмом упрочнения (использовать наименьшие достаточные привилегии важно, но этому посвящён отдельный критерий).

    Met (SHOULD). Hardening mechanisms are applied on both the web and firmware sides.

    Web (Rails — the network-facing attack surface):

    • A strict Content-Security-Policy (config/initializers/content_security_policy.rb):
      default_src/base_uri/form_action 'self', frame_ancestors 'none', frame_src 'none',
      object_src 'none', and a per-request nonce for inline scripts (no 'unsafe-inline'
      on script-src).
    • A full security-header set (config/initializers/security_headers.rb): X-Frame-Options
      DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin-when-cross-origin,
      Cross-Origin-Opener-Policy / Cross-Origin-Resource-Policy same-origin, a restrictive
      Permissions-Policy, and X-XSS-Protection 0 (disables the legacy exploitable filter).
    • HSTS with preload (1 year, includeSubdomains) + config.force_ssl; session cookies are
      httponly + secure + same_site:lax.

    Firmware C (a memory-unsafe language → compiler hardening):

    • The entire host test suite is compiled and executed under AddressSanitizer +
      UndefinedBehaviorSanitizer (-fsanitize=address,undefined -fno-sanitize-recover=all) on
      every CI run, so undefined behavior, buffer overflows and use-after-free abort the build
      before release — the criterion's "compiler flags to eliminate undefined behavior"
      example. The host build also honors -fstack-protector-strong / -D_FORTIFY_SOURCE / RELRO.

    https://github.com/Alexey-Lukin/silken_net/blob/main/config/initializers/content_security_policy.rb
    https://github.com/Alexey-Lukin/silken_net/blob/main/firmware/test/Makefile



    Проект ОБЯЗАН предоставить обоснование того, что требования безопасности соблюдаются проектом. В обоснование НЕОБХОДИМО включить: описание модели угроз, четкое указание границ доверия, доказательство того, что использовались принципы безопасного дизайна, и доказательство того, что слабости в безопасности реализации нейтрализованы. (Требуется URL) [assurance_case]
    Обоснованием является «документальное подтверждение, которое дает убедительное и корректное доказательство того, что указанный набор критических заявлений относительно свойств системы адекватно оправдан для данного приложения в данной среде» (перевод выдержки из "Software Assurance Using Structured Assurance Case Models", Thomas Rhodes et al, NIST Interagency Report 7608). Границы доверия - это границы, на которых меняется уровень доверия к данным или выполнению кода, например границы сервера в типичном веб-приложении. В обосновании обычно перечисляются принципы безопасного проектирования (такие как Saltzer and Schroeer) и общие слабости безопасности в реализации (такие как OWASP Top 10 или CWE/SANS Top 25), и показывается, как противодействовать каждой из них. Полезным примером может служить обоснование для BadgeApp. Этот критерий связан с documentation_security, documentation_architecture и implement_secure_design.

    Met. The project provides a structured security assurance case at
    docs/SECURITY_ASSURANCE_CASE.md. It states the top-level security claims; a threat
    model (assets, threat actors, and attack surfaces across the Soldier->Queen->Rails->chain
    pipeline); an explicit identification of every trust boundary and the guard that
    enforces it; an argument that Saltzer-Schroeder secure-design principles are applied,
    with code anchors; and an OWASP Top 10 (2021) table showing how each common
    implementation weakness is countered - followed by an honest residual-risk and
    assumptions section. Each claim is backed by the test / SAST / SCA evidence listed in
    the document.
    https://github.com/Alexey-Lukin/silken_net/blob/main/docs/SECURITY_ASSURANCE_CASE.md


 Анализ 2/2

  • Статический анализ кода


    Проект ОБЯЗАН использовать хотя бы один инструмент статического анализа с правилами или подходами для поиска распространенных уязвимостей в анализируемом языке или окружении, если есть хотя бы один инструмент на СПО, который может реализовать этот критерий на выбранном языке. [static_analysis_common_vulnerabilities]
    Инструменты статического анализа, специально предназначенные для поиска распространенных уязвимостей, с большей вероятностью найдут их. Тем не менее, использование любых статических инструментов обычно помогает найти какие-то проблемы, поэтому мы предлагаем, но не требуем этого для получения базового значка.

    The static analyzers used are specifically designed to find common vulnerabilities: Brakeman targets Rails vulnerability classes (SQL injection, XSS, mass assignment, CSRF), CodeQL runs security queries mapped to CWE, Slither has detectors for common Solidity vulnerabilities (reentrancy, access control, arithmetic), and cppcheck flags memory/defect issues in C. CodeQL runs security queries mapped to CWE (GitHub default setup, across all six
    languages — Ruby, C/C++, C#, JS/TS, Python, Actions).
    https://github.com/Alexey-Lukin/silken_net/blob/main/.github/workflows/solidity_audit.yml


  • Динамический анализ кода


    Если ПО, создаваемое проектом, включает ПО, написанное с использованием небезопасного языка (например, C или C++), тогда проект ОБЯЗАН регулярно использовать хотя бы один динамический инструмент (например, фаззер или сканер веб-приложения) в сочетании с механизмом для обнаружения проблем безопасности памяти, таких как перезапись буфера. Выберите «неприменимо» (N/A), если проект не создает ПО, написанное на небезопасном языке. [dynamic_analysis_unsafe]
    Примерами механизмов обнаружения проблем безопасности памяти являются Address Sanitizer (ASAN) (доступен в GCC и LLVM), Memory Sanitizer и valgrind. Другие потенциально используемые инструменты включают Thread Sanitizer и Undefined Behavior Sanitizer. Достаточно широкое использование утверждений (assertions) тоже может быть приемлемо.

    The project ships memory-unsafe C firmware (STM32 Soldier/Queen + the One-Home libraries in firmware/common/), so N/A does not apply. Every host-based unit test (firmware/test/, ~22 binaries covering the untrusted-input parsers — AT-command/CoAP PDU tokenizer, circular-DMA UART RX ring, flash KV/ring/OTA journals with power-cut fault injection — plus the crypto, DSP and TinyML paths) is compiled and executed under AddressSanitizer + UndefinedBehaviorSanitizer on every CI run, via make -C firmware/test asan in the firmware_test job of .github/workflows/ci.yml (gating through the ci-ok aggregate required check). Flags: -fsanitize=address,undefined -fno-sanitize-recover=all -fno-omit-frame-pointer -g -O1. AddressSanitizer detects heap/stack/global buffer overflows (the explicit "buffer overwrite" concern), use-after-free/return and double-free; UndefinedBehaviorSanitizer detects signed-integer overflow, out-of-bounds shifts, misaligned/null pointer dereferences and invalid enum/bool loads; halt_on_error=1 makes the first finding fail the build. LeakSanitizer is intentionally disabled (detect_leaks=0) because the only allocations outliving main() are OpenSSL's one-time global init in two tests, which the short-lived test processes deliberately do not tear down — a "still reachable" false positive, not a memory-safety defect. This dynamic lane complements the existing static analysis (cppcheck firmware_lint, CodeQL c-cpp, and -Wall -Wextra -Wpedantic).
    https://github.com/Alexey-Lukin/silken_net/blob/main/firmware/test/Makefile



Эти данные доступны по лицензии Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0). Это означает, что получатель данных может распространять данные с изменениями или без них, при условии, что получатель данных предоставляет текст данного соглашения вместе с распространяемыми данными. Пожалуйста, укажите в качестве источника Alexey Lukin и участников OpenSSF Best Practices badge.

Владелец анкеты на значок проекта: Alexey Lukin.
2026-06-24 13:17:00 UTC, последнее изменение сделано 2026-06-25 13:55:07 UTC. Последний раз условия для получения значка были выполнены 2026-06-24 17:34:54 UTC.