BAS

Проекты, которые следуют приведенным ниже лучшим практикам, могут добровольно и самостоятельно оценить себя и продемонстрировать, что они получили значок Open Source Security Foundation (OpenSSF).

Не существует набора практик, гарантирующего, что у программного обеспечения никогда не будет недостатков или уязвимостей; даже формальные методы могут не помочь, если спецификации или допущения ошибочны. Также не существует какой-либо практики, которая могла бы гарантировать, что проект будет поддерживать здоровое и хорошо функционирующее сообщество разработчиков. Однако следующие хорошие правила могут помочь улучшить результаты проектов. Например, некоторые правила описывают ревью несколькими участниками перед выпуском, что может помочь найти технические уязвимости, которые было бы сложно найти другим способом, и помочь построить доверие и желание дальнейшего взаимодействия между разработчиками из разных компаний. Чтобы получить значок, нужно выполнить все критерии с ключевыми словами "НЕОБХОДИМО"/"ОБЯЗАН"/"НЕДОПУСТИМО", все критерии со словом "СЛЕДУЕТ" либо должны удовлетворяться, либо должно быть приведено обоснование их невыполнения, и все критерии со словом "ЖЕЛАТЕЛЬНО" могут быть удовлетворены ИЛИ неудовлетворены (желательно, чтобы они были хотя бы рассмотрены). Если вы хотите ввести общий комментарий вместо объяснения, почему текущая ситуация приемлема, начните текст с '//' и пробела. Приветствуется обратная связь через сайт на GitHub в виде issues или pull requests. Существует также список рассылки для общих вопросов.

Мы с удовольствием предоставляем информацию на нескольких языках, однако, если есть какой-либо конфликт или несоответствие между переводами, английская версия является авторитетной.

Если это ваш проект, пожалуйста, покажите свой значок на странице проекта! Статус значка выглядит следующим образом:

Вот как вставить его:

Вы можете показать свой статус значка, вставив его в файл с разметкой Markdown:

[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/2055/badge)](https://www.bestpractices.dev/projects/2055)

- или HTML:
<a href="https://www.bestpractices.dev/projects/2055"><img src="https://www.bestpractices.dev/projects/2055/badge"></a>

Это критерии уровня

. Вы также можете просмотреть критерии уровня

или

Управление изменениями 1/1 ●

Предыдущие версии

Criterion [maintenance_or_update]
Соответствует

Не соответствует

Неприменимо

?

Проект ОБЯЗАН поддерживать наиболее часто используемые старые версии продукта или предоставлять возможность простого перехода на более новые версии (upgrade path). Если переход затруднен, проект ОБЯЗАН задокументировать порядок обновления (например, изменившиеся интерфейсы и подробные предлагаемые шаги для обновления). ^{[maintenance_or_update]}

All previous CRAN releases https://cran.r-project.org/src/contrib/Archive/BAS/

Анализ 2/2 ●

Статический анализ кода

Criterion [static_analysis_common_vulnerabilities]
Соответствует

Не соответствует

Неприменимо

?

Проект ОБЯЗАН использовать хотя бы один инструмент статического анализа с правилами или подходами для поиска распространенных уязвимостей в анализируемом языке или окружении, если есть хотя бы один инструмент на СПО, который может реализовать этот критерий на выбранном языке. ^{[static_analysis_common_vulnerabilities]}
Инструменты статического анализа, специально предназначенные для поиска распространенных уязвимостей, с большей вероятностью найдут их. Тем не менее, использование любых статических инструментов обычно помогает найти какие-то проблемы, поэтому мы предлагаем, но не требуем этого для получения базового значка.

R CMD check with valgrind is used to check for memory/buffer vulnerabilities as well as using R with other address sanitizers see http://dirk.eddelbuettel.com/code/sanitizers.html
Динамический анализ кода

Criterion [dynamic_analysis_unsafe]
Соответствует

Не соответствует

Неприменимо

?

Если ПО, создаваемое проектом, включает ПО, написанное с использованием небезопасного языка (например, C или C++), тогда проект ОБЯЗАН регулярно использовать хотя бы один динамический инструмент (например, фаззер или сканер веб-приложения) в сочетании с механизмом для обнаружения проблем безопасности памяти, таких как перезапись буфера. Выберите «неприменимо» (N/A), если проект не создает ПО, написанное на небезопасном языке. ^{[dynamic_analysis_unsafe]}
Примерами механизмов обнаружения проблем безопасности памяти являются Address Sanitizer (ASAN) (доступен в GCC и LLVM), Memory Sanitizer и valgrind. Другие потенциально используемые инструменты включают Thread Sanitizer и Undefined Behavior Sanitizer. Достаточно широкое использование утверждений (assertions) тоже может быть приемлемо.

valgrind is used in CI with each commit

This data is available under the Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0). This means that a Data Recipient may share the Data, with or without modifications, so long as the Data Recipient makes available the text of this agreement with the shared Data. Please credit Merlise Clyde and the OpenSSF Best Practices badge contributors.

Владелец анкеты на значок проекта: Merlise Clyde.
2018-07-31 18:36:41 UTC, последнее изменение сделано 2024-10-24 02:43:24 UTC. Последний раз условия для получения значка были выполнены 2018-07-31 21:42:45 UTC.

BAS

Основы 17/17 ●

Идентификация

Предварительные требования

Основная информация на веб-сайте проекта

Надзор за проектом

Документация

Общедоступность и интернационализация

Другое

Управление изменениями 1/1 ●

Предыдущие версии

Отчеты о проблемах 3/3 ●

Процесс сообщения об ошибках

Процесс отчета об уязвимостях

Качество 19/19 ●

Стандарты кодирования

Рабочая система сборки

Система установки

Компоненты, поддерживаемые извне

Набор автотестов

Тестирование новых функций

Флаги предупреждений

Безопасность 13/13 ●

Знание безопасной разработки

Основы правильного использования криптографии

Безопасный выпуск

Другие вопросы безопасности

Анализ 2/2 ●

Статический анализ кода

Динамический анализ кода