Open Alliance for Cloud Adoption

Проекты, которые следуют приведенным ниже лучшим практикам, могут добровольно и самостоятельно оценить себя и продемонстрировать, что они получили значок Open Source Security Foundation (OpenSSF).

Не существует набора практик, гарантирующего, что у программного обеспечения никогда не будет недостатков или уязвимостей; даже формальные методы могут не помочь, если спецификации или допущения ошибочны. Также не существует какой-либо практики, которая могла бы гарантировать, что проект будет поддерживать здоровое и хорошо функционирующее сообщество разработчиков. Однако следующие хорошие правила могут помочь улучшить результаты проектов. Например, некоторые правила описывают ревью несколькими участниками перед выпуском, что может помочь найти технические уязвимости, которые было бы сложно найти другим способом, и помочь построить доверие и желание дальнейшего взаимодействия между разработчиками из разных компаний. Чтобы получить значок, нужно выполнить все критерии с ключевыми словами "НЕОБХОДИМО"/"ОБЯЗАН"/"НЕДОПУСТИМО", все критерии со словом "СЛЕДУЕТ" либо должны удовлетворяться, либо должно быть приведено обоснование их невыполнения, и все критерии со словом "ЖЕЛАТЕЛЬНО" могут быть удовлетворены ИЛИ неудовлетворены (желательно, чтобы они были хотя бы рассмотрены). Если вы хотите ввести общий комментарий вместо объяснения, почему текущая ситуация приемлема, начните текст с '//' и пробела. Приветствуется обратная связь через сайт на GitHub в виде issues или pull requests. Существует также список рассылки для общих вопросов.

Мы с удовольствием предоставляем информацию на нескольких языках, однако, если есть какой-либо конфликт или несоответствие между переводами, английская версия является авторитетной.

Если это ваш проект, пожалуйста, покажите свой значок на странице проекта! Статус значка выглядит следующим образом:

Уровень значка для проекта 3186 - in_progress

Вот как вставить его:

Вы можете показать свой статус значка, вставив его в файл с разметкой Markdown:

[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/3186/badge)](https://www.bestpractices.dev/projects/3186)

- или HTML:
<a href="https://www.bestpractices.dev/projects/3186"><img src="https://www.bestpractices.dev/projects/3186/badge"></a>

Это критерии уровня

. Вы также можете просмотреть критерии уровня

или

Эти данные доступны под лицензией Creative Commons Attribution версии 3.0 или более поздней (CC-BY-3.0+). Все могут свободно делиться и адаптировать эти данные, но должны указывать соответствующие ссылки. При распространении, пожалуйста, указывайте "Mark Williams and the OpenSSF Best Practices badge contributors".

Владелец анкеты на значок проекта: Mark Williams.
2019-09-16 20:27:10 UTC, последнее изменение сделано 2020-02-13 02:56:46 UTC.

Open Alliance for Cloud Adoption

Основы 11/13 ●

Идентификация

Основная информация на веб-сайте проекта

Свободная лицензия

Документация

Другое

Управление изменениями 7/9 ●

Публичное хранилище исходного кода с поддержкой версий

Уникальная нумерация версий

Примечания к выпуску

Отчеты о проблемах 8/8 ●

Процесс сообщения об ошибках

Процесс отчета об уязвимостях

Качество 10/13 ●

Рабочая система сборки

Набор автотестов

Тестирование новых функций

Флаги предупреждений

Безопасность 11/16 ●

Знание безопасной разработки

Основы правильного использования криптографии

Доставка, защищенная от атак посредника (MITM)

Исправление обнародованных уязвимостей

Другие вопросы безопасности

Анализ 8/8 ●

Статический анализ кода

Динамический анализ кода