LPVS

Проекты, которые следуют приведенным ниже лучшим практикам, могут добровольно и самостоятельно оценить себя и продемонстрировать, что они получили значок Open Source Security Foundation (OpenSSF).

Если это ваш проект, пожалуйста, покажите свой значок на странице проекта! Статус значка выглядит следующим образом: Уровень значка для проекта 6309 - gold Вот как вставить его:

Это критерии уровня Gold. Вы также можете просмотреть критерии уровня Passing или Silver.

        

 Основы 5/5

  • Идентификация

    License Pre-Validation Service analyzes which open source components and licenses are used in every patch. It returns the list of restricted licenses and the possibility of license violation on the comment with the exact code location and the open source component information.

  • Предварительные требования


    Достаточно для значка!

    Проект ОБЯЗАН получить серебряный значок. [achieve_silver]

  • Надзор за проектом


    Достаточно для значка!

    Проект ОБЯЗАН иметь «коэффициент автобуса» 2 или более. (Требуется URL) [bus_factor]

    We're having everything extensively documented and tested. There are no secrets. Referring to the different forms (one of: https://www.process.st/bus-factor/#how ) of calculating "bus factor" can be said with certainty that it is not less than 2.


    Достаточно для значка!

    Проект ОБЯЗАН иметь как минимум двух несвязанных значительных соавторов. (Требуется URL) [contributors_unassociated]

    Our contributors


  • Другое


    Достаточно для значка!

    Проект ОБЯЗАН указывать лицензию в каждом исходном файле. Это МОЖЕТ быть сделано путем включения в комментарий рядом с началом каждого файла следующей строки: SPDX-License-Identifier: [SPDX-выражение лицензии для проекта]. [license_per_file]

    MIT license conventions Example of the source file


  • Публичное хранилище исходного кода с поддержкой версий


    Достаточно для значка!

    Хранилище проектного исходного кода ОБЯЗАНО использовать типовое ПО для распределенного управления версиями (например, git или mercurial). [repo_distributed]

    Repository on GitHub, which uses git. git is distributed.


    Достаточно для значка!

    Проект ОБЯЗАН четко обозначать небольшие задачи, которые могут быть выполнены новыми или случайными участниками. (Требуется URL) [small_tasks]

    or quick entry into the project, tasks for beginners are labeled as "good first issue" https://github.com/Samsung/LPVS/issues


    Достаточно для значка!

    Проект ОБЯЗАН требовать двухфакторной аутентификации (ДФА) от разработчиков для изменения центрального хранилища или доступа к конфиденциальным данным (например, приватным отчетам об уязвимостях). Этот механизм ДФА МОЖЕТ использовать механизмы без криптографической защиты, такие как SMS, хотя это не рекомендуется. [require_2FA]

    The Samsung organization has set up two-factor authentication for maintainers.


    Достаточно для значка!

    При двухфакторной аутентификации (ДФА) проекту СЛЕДУЕТ использовать криптографические механизмы для предотвращения имперсонации. ДФА на основе службы коротких сообщений (SMS) сама по себе НЕ соответствует этому критерию, поскольку короткие сообщения не шифруются. [secure_2FA]

    The Samsung organization recommends to use applications for authentication (Ex. Authy).


  • Стандарты кодирования


    Достаточно для значка!

    Проект ОБЯЗАН документировать свои требования по ревью кода, в том числе, как проводится ревью кода, что необходимо проверять и что необходимо для приемлемости кода. (Требуется URL) [code_review_standards]

    Project code review policy


    Достаточно для значка!

    Проект ОБЯЗАН проводить проверку не менее 50% всех предлагаемых модификаций до их попадания в выпуск человеком, отличным от автора, для определения того, являются ли эти модификации целесообразными и не содержат ли известных проблем, препятствующих включению. [two_person_review]

    The "least two approvals for merging PR to upstream" option is enabled in the project settings.


  • Рабочая система сборки


    Достаточно для значка!

    Проект ОБЯЗАН обеспечивать воспроизводимую сборку. Если сборка не требуется (например, в случае языков сценариев, где исходный код используется непосредственно вместо компиляции), выберите «N/A». (Требуется URL) [build_reproducible]

    Instructions on how to check a reproducible build


  • Набор автотестов


    Достаточно для значка!

    Набор тестов ОБЯЗАН запускаться стандартным способом для этого языка. (Требуется URL) [test_invocation]

    mvn -B package --file pom.xml https://github.com/Samsung/LPVS/actions/workflows/test-suite.yml


    Достаточно для значка!

    Проект ОБЯЗАН реализовать непрерывную интеграцию, при которой новый или измененный код интегрируется в центральное хранилище кода, и на получившейся базе кода запускаются автоматические тесты. (Требуется URL) [test_continuous_integration]

    During any pull request or push command, autotests are started https://github.com/Samsung/LPVS/actions/workflows/test-suite.yml


    Достаточно для значка!

    Проект ОБЯЗАН иметь автоматические тестовые пакеты на СПО, которые обеспечивают покрытие не менее 90% инструкций кода, если есть хотя бы один инструмент на СПО, который может измерять этот критерий на выбранном языке. [test_statement_coverage90]

    92% statement coverage https://app.codecov.io/gh/Samsung/LPVS


    Достаточно для значка!

    Проект ОБЯЗАН иметь автоматические тестовые пакеты на СПО, которые обеспечивают покрытие не менее 80% веток кода, если есть хотя бы один инструмент на СПО, который может измерять этот критерий на выбранном языке. [test_branch_coverage80]

    80% branch coverage https://app.codecov.io/gh/Samsung/LPVS


  • Основы правильного использования криптографии

    Обратите внимание, что некоторое ПО не нуждается в использовании криптографических механизмов.

    Достаточно для значка!

    В ПО, создаваемом проектом, НЕОБХОДИМО поддерживать безопасные протоколы для всех сетевых коммуникаций, такие как SSHv2 или новее, TLS1.2 или новее (HTTPS), IPsec, SFTP и SNMPv3. По умолчанию НЕОБХОДИМО отключать небезопасные протоколы, такие как FTP, HTTP, telnet, SSLv3 или более ранние версии, и SSHv1, и разрешать их только в том случае, если пользователь явным образом это задаёт. Если программное обеспечение, созданное проектом, не поддерживает сетевые коммуникации, выберите «неприменимо» (N/A). [crypto_used_network]

    TLS are used in the 3rd-party components of project.


    Достаточно для значка!

    Если ПО, создаваемое проектом, поддерживает или использует TLS, НЕОБХОДИМО поддерживать как минимум версию TLS 1.2. Примечание: предшественник TLS называется SSL. Если программное обеспечение не использует TLS, выберите «неприменимо» (N/A). [crypto_tls12]

    3rd-party components support TLS 1.2 version


  • Доставка, защищенная от атак посредника (MITM)


    Достаточно для значка!

    Веб-сайт проекта, репозиторий (если он доступен через Интернет) и сайт загрузки (если он существует отдельно) ОБЯЗАНЫ использовать упрочняющие безопасность (hardening) заголовки с неразрешающими значениями. (Требуется URL) [hardened_site]

    Found all required security hardening headers


  • Другие вопросы безопасности


    Достаточно для значка!

    Проект ОБЯЗАН иметь проверку безопасности за последние 5 лет. При проверке НЕОБХОДИМО учитывать требования и границы безопасности. [security_review]

    One of the project's maintainers (o-kopysov) analyzes security every half year.


    Достаточно для значка!

    В ПО, создаваемом проектом, НЕОБХОДИМО использовать механизмы упрочнения безопасности (hardening), чтобы дефекты программного обеспечения с меньшей вероятностью приводили к уязвимостям в безопасности. (Требуется URL) [hardening]

    Hardening mechanisms are used in project


  • Динамический анализ кода


    Достаточно для значка!

    Проект ОБЯЗАН применять хотя бы один инструмент динамического анализа к любой предлагаемой основной версии ПО, создаваемого проектом до её выпуска. [dynamic_analysis]

    The project is in the grow stage. The project uses a ClusterFuzzLite (jazzer) for Fuzz testing. We have launched a process to increase fuzzing test coverage.


    Достаточно для значка!

    Проекту СЛЕДУЕТ включать достаточно много утверждений (assertions) времени выполнения в создаваемом им ПО и проверять эти утверждения во время динамического анализа. [dynamic_analysis_enable_assertions]

    Runtime assertions are disabled by default in Java, so instead we are changing most of them to explicit runtime checks. Violations of runtime checks will throw some sort of Exception.



Эти данные доступны под лицензией Creative Commons Attribution версии 3.0 или более поздней (CC-BY-3.0+). Все могут свободно делиться и адаптировать эти данные, но должны указывать соответствующие ссылки. При распространении, пожалуйста, указывайте "Oleg Kopysov and the OpenSSF Best Practices badge contributors".

Владелец анкеты на значок проекта: Oleg Kopysov.
2022-07-29 09:08:29 UTC, последнее изменение сделано 2023-12-14 11:34:38 UTC. Последний раз условия для получения значка были выполнены 2022-09-26 10:06:35 UTC.

Назад