LPVS

Проекты, которые следуют приведенным ниже лучшим практикам, могут добровольно и самостоятельно оценить себя и продемонстрировать, что они получили значок Open Source Security Foundation (OpenSSF).

Не существует набора практик, гарантирующего, что у программного обеспечения никогда не будет недостатков или уязвимостей; даже формальные методы могут не помочь, если спецификации или допущения ошибочны. Также не существует какой-либо практики, которая могла бы гарантировать, что проект будет поддерживать здоровое и хорошо функционирующее сообщество разработчиков. Однако следующие хорошие правила могут помочь улучшить результаты проектов. Например, некоторые правила описывают ревью несколькими участниками перед выпуском, что может помочь найти технические уязвимости, которые было бы сложно найти другим способом, и помочь построить доверие и желание дальнейшего взаимодействия между разработчиками из разных компаний. Чтобы получить значок, нужно выполнить все критерии с ключевыми словами "НЕОБХОДИМО"/"ОБЯЗАН"/"НЕДОПУСТИМО", все критерии со словом "СЛЕДУЕТ" либо должны удовлетворяться, либо должно быть приведено обоснование их невыполнения, и все критерии со словом "ЖЕЛАТЕЛЬНО" могут быть удовлетворены ИЛИ неудовлетворены (желательно, чтобы они были хотя бы рассмотрены). Если вы хотите ввести общий комментарий вместо объяснения, почему текущая ситуация приемлема, начните текст с '//' и пробела. Приветствуется обратная связь через сайт на GitHub в виде issues или pull requests. Существует также список рассылки для общих вопросов.

Мы с удовольствием предоставляем информацию на нескольких языках, однако, если есть какой-либо конфликт или несоответствие между переводами, английская версия является авторитетной.

Если это ваш проект, пожалуйста, покажите свой значок на странице проекта! Статус значка выглядит следующим образом:

Вот как вставить его:

Вы можете показать свой статус значка, вставив его в файл с разметкой Markdown:

[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/6309/badge)](https://www.bestpractices.dev/projects/6309)

- или HTML:
<a href="https://www.bestpractices.dev/projects/6309"><img src="https://www.bestpractices.dev/projects/6309/badge"></a>

Это критерии уровня

. Вы также можете просмотреть критерии уровня

или

Управление изменениями 1/1 ●

Предыдущие версии

Criterion [maintenance_or_update]
Соответствует

Не соответствует

Неприменимо

?

Проект ОБЯЗАН поддерживать наиболее часто используемые старые версии продукта или предоставлять возможность простого перехода на более новые версии (upgrade path). Если переход затруднен, проект ОБЯЗАН задокументировать порядок обновления (например, изменившиеся интерфейсы и подробные предлагаемые шаги для обновления). ^{[maintenance_or_update]}

The product can be run as a docker container, therefore it is necessary to update its image

Анализ 2/2 ●

Статический анализ кода

Criterion [static_analysis_common_vulnerabilities]
Соответствует

Не соответствует

Неприменимо

?

Проект ОБЯЗАН использовать хотя бы один инструмент статического анализа с правилами или подходами для поиска распространенных уязвимостей в анализируемом языке или окружении, если есть хотя бы один инструмент на СПО, который может реализовать этот критерий на выбранном языке. ^{[static_analysis_common_vulnerabilities]}
Инструменты статического анализа, специально предназначенные для поиска распространенных уязвимостей, с большей вероятностью найдут их. Тем не менее, использование любых статических инструментов обычно помогает найти какие-то проблемы, поэтому мы предлагаем, но не требуем этого для получения базового значка.

SpotBugs, CodeQL and LGTM are used to analyze code and search for vulnerabilities
Динамический анализ кода

Criterion [dynamic_analysis_unsafe]
Соответствует

Не соответствует

Неприменимо

?

Если ПО, создаваемое проектом, включает ПО, написанное с использованием небезопасного языка (например, C или C++), тогда проект ОБЯЗАН регулярно использовать хотя бы один динамический инструмент (например, фаззер или сканер веб-приложения) в сочетании с механизмом для обнаружения проблем безопасности памяти, таких как перезапись буфера. Выберите «неприменимо» (N/A), если проект не создает ПО, написанное на небезопасном языке. ^{[dynamic_analysis_unsafe]}
Примерами механизмов обнаружения проблем безопасности памяти являются Address Sanitizer (ASAN) (доступен в GCC и LLVM), Memory Sanitizer и valgrind. Другие потенциально используемые инструменты включают Thread Sanitizer и Undefined Behavior Sanitizer. Достаточно широкое использование утверждений (assertions) тоже может быть приемлемо.

We use Java.

Эти данные доступны под лицензией Creative Commons Attribution версии 3.0 или более поздней (CC-BY-3.0+). Все могут свободно делиться и адаптировать эти данные, но должны указывать соответствующие ссылки. При распространении, пожалуйста, указывайте "Oleg Kopysov and the OpenSSF Best Practices badge contributors".

Владелец анкеты на значок проекта: Oleg Kopysov.
2022-07-29 09:08:29 UTC, последнее изменение сделано 2023-12-14 11:34:38 UTC. Последний раз условия для получения значка были выполнены 2022-09-26 10:06:35 UTC.

LPVS

Основы 17/17 ●

Идентификация

Предварительные требования

Основная информация на веб-сайте проекта

Надзор за проектом

Документация

Общедоступность и интернационализация

Другое

Управление изменениями 1/1 ●

Предыдущие версии

Отчеты о проблемах 3/3 ●

Процесс сообщения об ошибках

Процесс отчета об уязвимостях

Качество 19/19 ●

Стандарты кодирования

Рабочая система сборки

Система установки

Компоненты, поддерживаемые извне

Набор автотестов

Тестирование новых функций

Флаги предупреждений

Безопасность 13/13 ●

Знание безопасной разработки

Основы правильного использования криптографии

Безопасный выпуск

Другие вопросы безопасности

Анализ 2/2 ●

Статический анализ кода

Динамический анализ кода