Smarta Byar Smart Village

Проекты, которые следуют приведенным ниже лучшим практикам, могут добровольно и самостоятельно оценить себя и продемонстрировать, что они получили значок Open Source Security Foundation (OpenSSF).

Если это ваш проект, пожалуйста, покажите свой значок на странице проекта! Статус значка выглядит следующим образом: Уровень значка для проекта 6846 - in_progress Вот как вставить его:

Это критерии уровня Passing. Вы также можете просмотреть критерии уровня Silver или Gold.

        

 Основы 13/13

  • Идентификация

    Red Hat Global Social Innovation Program is partnering with Boston University and Smarta Byar in order to collaborate on creating a global and open research platform allowing researchers to study what social sustainability means by using a digital twin of Veberöd, Sweden as the test village, supported by Smarta Byar.

    Какие языки программирования используются для реализации проекта?
  • Основная информация на веб-сайте проекта


    Веб-сайт проекта ОБЯЗАН кратко описывать, что делает программное обеспечение (какую проблему решает?). [description_good]

    Веб-сайт проекта ОБЯЗАН предоставлять информацию о том, как: получать и предоставлять обратную связь (например, отчеты об ошибках или улучшения) и вносить свой вклад в программное обеспечение. [interact]

    В описании того, как сделать вклад, НЕОБХОДИМО объяснить процесс внесения вклада (например, используются ли pull request'ы). (Требуется URL) [contribution]

    В информацию о том, как внести вклад, СЛЕДУЕТ включать требования к приемлемым взносам (например, ссылку на любой требуемый стандарт кодирования). (Требуется URL) [contribution_requirements]
  • Свободная лицензия

    Под какой/какими лицензией/ями выпускается проект?



    ПО, создаваемое проектом, ОБЯЗАНО быть выпущено под свободной лицензией. [floss_license]

    The GPL-3.0 license is approved by the Open Source Initiative (OSI).



    ЖЕЛАТЕЛЬНО, чтобы все лицензии для ПО, создаваемого проектом, были одобрены Open Source Initiative (OSI). [floss_license_osi]

    The GPL-3.0 license is approved by the Open Source Initiative (OSI).



    Проект ОБЯЗАН публиковать лицензию или лицензии своих результатов в стандартном расположении в своем репозитории исходного кода. (Требуется URL) [license_location]

    Non-trivial license location file in repository: https://github.com/computate-org/smartabyar-smartvillage/blob/main/LICENSE.


  • Документация


    Проект ОБЯЗАН предоставлять базовую документацию для программного обеспечения, создаваемого проектом. [documentation_basics]

    Проект ОБЯЗАН предоставлять справочную документацию, описывающую внешний интерфейс (как входной, так и выходной) программного обеспечения, создаваемого проектом. [documentation_interface]
  • Другое


    Сайты проекта (веб-сайт, репозиторий и URL-адреса для загрузки) ОБЯЗАНЫ поддерживать HTTPS с использованием TLS. [sites_https]

    Given only https: URLs.



    Проект ОБЯЗАН иметь один или несколько механизмов для обсуждения (включая предлагаемые изменения и проблемы), которые доступны для поиска, позволяют ссылаться на сообщения и темы по URL, позволяют новым людям участвовать в некоторых обсуждениях и не требуют установки на стороне клиента проприетарного программного обеспечения. [discussion]

    GitHub supports discussions on issues and pull requests. https://github.com/computate-org/smartabyar-smartvillage/issues

    There is a public mailing list for Smart Village Project where you can start a discussion about proposed changes and issues: https://computate.topicbox.com/groups/smartabyar-smartvillage



    Проекту СЛЕДУЕТ предоставлять документацию на английском языке и иметь возможность принимать отчеты об ошибках и комментарии о коде на английском языке. [english]

    The documentation for Smart Village Project is in English: https://github.com/computate-org/smartabyar-smartvillage/blob/main/README.md

    Additional documentation in English can be found in the articles on the home page of the public website for Smart Village Project here: https://smartvillage.computate.org



    НЕОБХОДИМО, чтобы проект поддерживался. [maintained]

    The Smart Village Project is actively maintained, as seen in the frequency of commits in the main branch here: https://github.com/computate-org/smartabyar-smartvillage/commits/main



(Дополнительно) Какие другие пользователи имеют дополнительные права на редактирование этой записи значка? В настоящее время: []



  • Публичное хранилище исходного кода с поддержкой версий


    Проект ОБЯЗАН иметь репозиторий (хранилище) исходного кода с управлением версиями, который является общедоступным и имеет URL. [repo_public]

    Repository on GitHub, which provides public git repositories with URLs. https://github.com/computate-org/smartabyar-smartvillage



    Проектный репозиторий исходного кода ОБЯЗАН отслеживать, какие изменения были внесены, кто внес изменения и когда изменения были сделаны. [repo_track]

    Repository on GitHub, which uses git. git can track the changes, who made them, and when they were made. See the changes made to the main branch of Smart Village Project here: https://github.com/computate-org/smartabyar-smartvillage/commits/main Repository on GitHub, which uses git. git can track the changes, who made them, and when they were made.



    Чтобы обеспечить возможность для проверки другими участниками, проектный репозиторий исходного кода ОБЯЗАН включать промежуточные версии для проверки между релизами; НЕДОПУСТИМО хранить в репозитории лишь финальные версии. [repo_interim]

    You can find every commit in the main branch of Smart Village Project leading up to a final release here: https://github.com/computate-org/smartabyar-smartvillage/commits/main



    Для хранилища проектного исходного кода ЖЕЛАТЕЛЬНО использовать типовое ПО для распределенного управления версиями (например, git). [repo_distributed]

    Repository on GitHub, which uses git. git is distributed. https://github.com/computate-org/smartabyar-smartvillage Repository on GitHub, which uses git. git is distributed.


  • Уникальная нумерация версий


    Результаты проекта ОБЯЗАНЫ иметь уникальный идентификатор версии для каждой версии, предназначенной для конечных пользователей. [version_unique]

    The Smart Village Project has unique versions of each release, see: https://github.com/computate-org/smartabyar-smartvillage/releases



    Для выпусков ЖЕЛАТЕЛЬНО использовать семантическую либо календарную нумерацию версий. При использовании календарной нумерации к версии ЖЕЛАТЕЛЬНО добавлять микро-компоненту. [version_semver]


    Проектам ЖЕЛАТЕЛЬНО идентифицировать каждый выпуск в своей системе управления версиями. Например, при использовании git ЖЕЛАТЕЛЬНО идентифицировать каждую версию, используя теги git. [version_tags]

    Each release of Smart Village Project also corresponds to a tag in GitHub, see the tags here: https://github.com/computate-org/smartabyar-smartvillage/tags


  • Примечания к выпуску


    Проект ОБЯЗАН предоставлять с каждой выпускаемой версией замечания к выпуску - удобочитаемые человеком сведения об основных изменениях в этом выпуске, помогающие пользователям определить, должны ли они обновляться и какими будут последствия обновления. НЕДОПУСТИМО делать замечания к выпуску сырым выводом журнала управления версиями (например, результаты команды «git log» не являются замечаниями к выпуску). Проекты, результаты которых не предназначены для повторного использования в нескольких местах (например, программное обеспечение для одного веб-сайта или службы) И выдаются через непрерывную доставку (continuous delivery) МОГУТ выбрать «неприменимо» (N/A). (Требуется URL) [release_notes]

    The Smart Village Project provides a human-readable summary of major changes in each release, see: https://github.com/computate-org/smartabyar-smartvillage/releases



    В замечаниях о выпуске НЕОБХОДИМО упоминать каждую общеизвестную уязвимость, исправленную ​​в каждой новой версии, для которой существует CVE или аналогичная публичная запись. Критерий может быть отмечен как неприменимый (N/A), если у пользователей обычно нет практической возможности обновить данное ПО самостоятельно (это часто относится к, например, обновлениям ядра операционной системы). Если замечаний о выпуске не публиковалось или не было обнародованных уязвимостей, отвечайте "неприменимо". [release_notes_vulns]

    See the list of vulnerabilities fixed in the release notes of Smart Village Project here: https://github.com/computate-org/smartabyar-smartvillage/releases


  • Процесс сообщения об ошибках


    Проект ОБЯЗАН предоставить пользователям возможность отправлять сообщения об ошибках (например, используя систему отслеживания ошибок или список рассылки). (Требуется URL) [report_process]

    There is a public mailing list for Smart Village Project where you can submit bug reports: https://computate.topicbox.com/groups/smartabyar-smartvillage

    The issues page on GitHub for Smart Village Project is another place to submit bug reports: https://github.com/computate-org/smartabyar-smartvillage/issues



    СЛЕДУЕТ использовать трекер вопросов (issue tracker) для отслеживания отдельных вопросов. [report_tracker]

    The issue tracker is on GitHub for Smart Village Project here: https://github.com/computate-org/smartabyar-smartvillage/issues



    Проект ОБЯЗАН подтверждать получение большинства сообщений об ошибках, отправленных за последние 2-12 месяцев (включительно); подтверждение не обязательно включает исправление. [report_responses]

    You can review the open issues on GitHub for Smart Village Project here: https://github.com/computate-org/smartabyar-smartvillage/issues



    Проекту СЛЕДУЕТ реагировать на большинство (>50%) запросов на улучшения в течение последних 2-12 месяцев (включительно). [enhancement_responses]

    You can review the enhancement requests on GitHub for Smart Village Project here: https://github.com/computate-org/smartabyar-smartvillage/issues



    Проект ОБЯЗАН иметь общедоступный архив для отчетов и ответов для последующего поиска. (Требуется URL) [report_archive]

    There is a public mailing list for Smart Village Project has a complete archive of messages: https://computate.topicbox.com/groups/smartabyar-smartvillage

    The issues page on GitHub for Smart Village Project has a complete archive of issues: https://github.com/computate-org/smartabyar-smartvillage/issues


  • Процесс отчета об уязвимостях


    Проект ОБЯЗАН публиковать процесс уведомления об уязвимостях на сайте проекта. (Требуется URL) [vulnerability_report_process]

    There is a security policy in place for Smart Village Project where you can email a vulnerability privately to the owner of the project: https://github.com/computate-org/smartabyar-smartvillage/security/policy



    Если поддерживаются приватные отчеты об уязвимости, проект ОБЯЗАН включить описание того, как отправлять сведения конфиденциальным способом. (Требуется URL) [vulnerability_report_private]

    There is a security policy in place for Smart Village Project where you can email a vulnerability privately to the owner of the project: https://github.com/computate-org/smartabyar-smartvillage/security/policy



    Проект ОБЯЗАН обеспечивать время первоначального отклика на любой отчет об уязвимости, полученный за последние 6 месяцев, в пределах 14 дней или меньше. [vulnerability_report_response]

    There is a security policy in place for Smart Village Project where you can email a vulnerability privately to the owner of the project who will review the vulnerability: https://github.com/computate-org/smartabyar-smartvillage/security/policy


  • Рабочая система сборки


    Если программное обеспечение, создаваемое проектом, требует сборки для использования, проект ОБЯЗАН предоставить рабочую систему сборки, которая может автоматически пересобирать программное обеспечение из исходного кода. [build]

    Non-trivial build file in repository: https://github.com/computate-org/smartabyar-smartvillage/blob/main/pom.xml.

    There is a container image build system using the Dockerfile in Smart Village Project on quay.io. See the automatically built tags and latest tag based on the latest from the main branch: https://quay.io/repository/computateorg/smartabyar-smartvillage?tab=tags

    There is also a Java CI with Maven build action for Smart Village Project on GitHub. It compiles the code and runs the tests and reports Success or Failure, errors, and warnings: https://github.com/computate-org/smartabyar-smartvillage/actions/workflows/maven.yml

    Each release of the project is also built for Maven Central. For all the details about the dependencies, vulnerabilities and more see the Maven Repository on Maven Central for Smart Village Project here: https://mvnrepository.com/artifact/org.computate/smartabyar-smartvillage/latest



    ЖЕЛАТЕЛЬНО использовать общеупотребительные инструменты для сборки программного обеспечения. [build_common_tools]

    Non-trivial build file in repository: https://github.com/computate-org/smartabyar-smartvillage/blob/main/pom.xml.

    Quay is a container image registry that enables you to build, organize, distribute, and deploy containers. Quay gives you security over your repositories with image vulnerability scanning and robust access controls. Project Quay provides a scalable open source platform to host container images across any size organization. See: https://www.projectquay.io/

    The Java CI with Maven build action provided by GitHub is also open source. https://github.com/actions/starter-workflows/blob/main/ci/maven.yml



    Для сборки проекта СЛЕДУЕТ использовать только инструменты со свободными лицензиями. [build_floss_tools]

    Quay is a container image registry that enables you to build, organize, distribute, and deploy containers. Quay gives you security over your repositories with image vulnerability scanning and robust access controls. Project Quay provides a scalable open source platform to host container images across any size organization. See: https://www.projectquay.io/

    The Java CI with Maven build action provided by GitHub is also open source. https://github.com/actions/starter-workflows/blob/main/ci/maven.yml


  • Набор автотестов


    Проект ОБЯЗАН использовать по крайней мере один автоматизированный набор тестов, опубликованный как свободное ПО (этот набор тестов может поддерживаться как отдельный проект свободного ПО). Проект ОБЯЗАН ясно показывать или иметь документацию о том, как запускать наборы тестов (например, через непрерывную интеграцию (CI) или используя файлы документации, такие как BUILD.md, README.md или CONTRIBUTING.md). [test]

    A developer can run the automated test suite locally for Smart Village Project with Maven. Building the project with tests is described in the README here: https://github.com/computate-org/smartabyar-smartvillage#running-the-project-build-and-test-suite

    There is a container image build system using the Dockerfile in Smart Village Project on quay.io. See the automatically built tags and latest tag based on the latest from the main branch: https://quay.io/repository/computateorg/smartabyar-smartvillage?tab=tags

    There is also a Java CI with Maven build action for Smart Village Project on GitHub. It compiles the code and runs the tests and reports Success or Failure, errors, and warnings: https://github.com/computate-org/smartabyar-smartvillage/actions/workflows/maven.yml

    Each release of the project is also built for Maven Central. For all the details about the dependencies, vulnerabilities and more see the Maven Repository on Maven Central for Smart Village Project here: https://mvnrepository.com/artifact/org.computate/smartabyar-smartvillage/latest



    Запуск набора тестов СЛЕДУЕТ реализовывать стандартным способом для этого языка. [test_invocation]

    Invocable with mvn clean install



    ЖЕЛАТЕЛЬНО охватывать набором тестов большинство (а в идеале все) ветви кода, поля ввода и функциональные возможности. [test_most]

    This is still a work-in-progress for the project.



    ЖЕЛАТЕЛЬНО реализовать непрерывную интеграцию (Continuous Integration - частая интеграция нового или измененного кода в центральное хранилище кода, и запуск автоматических тестов на получившейся базе кода). [test_continuous_integration]

    There is a container image build system using the Dockerfile in Smart Village Project on quay.io. See the automatically built tags and latest tag based on the latest from the main branch: https://quay.io/repository/computateorg/smartabyar-smartvillage?tab=tags

    There is also a Java CI with Maven build action for Smart Village Project on GitHub. It compiles the code and runs the tests and reports Success or Failure, errors, and warnings: https://github.com/computate-org/smartabyar-smartvillage/actions/workflows/maven.yml

    Each release of the project is also built for Maven Central. For all the details about the dependencies, vulnerabilities and more see the Maven Repository on Maven Central for Smart Village Project here: https://mvnrepository.com/artifact/org.computate/smartabyar-smartvillage/latest


  • Тестирование новых функций


    Проект ОБЯЗАН иметь общую политику (формальную или нет), обязывающую добавлять тесты в набор автоматических тестов по мере добавления новых функциональных возможностей к программному обеспечению, создаваемому проектом. [test_policy]

    This is still a work-in-progress for Smart Village Project.



    Проект ОБЯЗАН иметь доказательства того, что критерий test_policy о добавлении тестов соблюдался при недавних крупных изменениях ПО, создаваемого проектом. [tests_are_added]

    This is still a work-in-progress for Smart Village Project.



    ЖЕЛАТЕЛЬНО задокументировать эту политику добавления тестов (см. критерий test_policy) в инструкции к предложениям об изменениях. [tests_documented_added]

    This is still a work-in-progress for Smart Village Project.


  • Флаги предупреждений


    Проект ОБЯЗАН включать один или несколько предупреждающих флагов компилятора, «безопасный» языковой режим или использовать отдельный инструмент «linter» для поиска ошибок качества кода или типовых простых ошибок, если есть хотя бы один инструмент на свободном ПО, который может реализовать этот критерий на выбранном языке. [warnings]

    A linter tool to look for code quality errors accomplished with the Super Linter Lint Code Base build action for Smart Village Project on GitHub. It is a simple combination of various linters, written in bash, to help validate your source code. https://github.com/computate-org/smartabyar-smartvillage/actions/workflows/super-linter.yml



    Проект ОБЯЗАН обращать внимание на предупреждения. [warnings_fixed]

    The Super Linter build tool is configured with it's default settings for Smart Village Project. See the configuration of the Super Linter build tool for Smart Village Project. https://github.com/computate-org/smartabyar-smartvillage/blob/main/.github/workflows/super-linter.yml

    See all the configuration options for the Super Linter here: https://github.com/github/super-linter#environment-variables



    ЖЕЛАТЕЛЬНО, чтобы проекты использовали самый строгий режим предупреждений в производимом ПО, где это целесообразно. [warnings_strict]

    The Super Linter build tool is configured with it's default settings for Smart Village Project. See the configuration of the Super Linter build tool for Smart Village Project. https://github.com/computate-org/smartabyar-smartvillage/blob/main/.github/workflows/super-linter.yml

    See all the configuration options for the Super Linter here: https://github.com/github/super-linter#environment-variables


  • Знание безопасной разработки


    По крайней мере один основной разработчик на проекте ОБЯЗАН знать, как проектировать безопасное программное обеспечение (точные требования описаны в подробностях к критерию). [know_secure_design]

    See the principal developers for Smart Village Project like computate a Principal Software Consultant from Red Hat with a background in secure software here: https://github.com/computate-org/smartabyar-smartvillage/graphs/contributors



    По крайней мере, один из основных разработчиков проекта ОБЯЗАН знать об общих видах ошибок, которые приводят к уязвимостям в этом виде программного обеспечения, а также по крайней мере одному методу противодействия или смягчения каждого из них. [know_common_errors]

    See the principal developers for Smart Village Project like computate a Principal Software Consultant from Red Hat with a background in secure software and vulnerabilities here: https://github.com/computate-org/smartabyar-smartvillage/graphs/contributors


  • Основы правильного использования криптографии

    Обратите внимание, что некоторое ПО не нуждается в использовании криптографических механизмов.

    Программное обеспечение, созданное проектом, ОБЯЗАНО использовать по умолчанию только публикуемые криптографические протоколы и алгоритмы, которые анализируются экспертами (если используются криптографические протоколы и алгоритмы). [crypto_published]

    The project website for Smart Village Project supports HTTPS using TLS with valid certificates as you can see here: https://smartvillage.computate.org

    The OpenAPI spec for Smart Village Project is using the strong standard openIdConnect scheme of the securitySchemes provided by the OpenAPI Spec for authentication, authorization, and role-based access control. See here: https://github.com/computate-org/smartabyar-smartvillage/blob/main/src/main/resources/webroot/openapi3-enUS.yml

    The authentication provider for Smart Village Project is Red Hat Single Sign On. Red Hat Single Sign-On (RH-SSO) provides Web single sign-on and identity federation based on SAML 2.0, OpenID Connect and OAuth 2.0 specifications. See here: https://smartvillage.computate.org/user



    Если программное обеспечение, создаваемое проектом, является приложением или библиотекой, и его основной целью является не внедрение криптографии, тогда для реализации криптографических функций СЛЕДУЕТ обращаться к программному обеспечению, специально предназначенному для этого; НЕ СЛЕДУЕТ повторно реализовывать свои собственные функции. [crypto_call]

    This project is not implementing it's own cryptography.



    Вся функциональность программного обеспечения, создаваемого проектом, которая зависит от криптографии, ОБЯЗАНА быть реализована с использованием свободного ПО. [crypto_floss]

    This project does not depend on cryptography of data.



    Механизмы безопасности в программном обеспечении, создаваемом проектом, ОБЯЗАНЫ использовать стандартные длины криптографических ключей, которые, по крайней мере, соответствуют минимальным требованиям NIST до 2030 года (как указано в 2012 году). Проект ОБЯЗАН предоставлять возможность настройки ПО таким образом, чтобы уменьшенные длины ключей были полностью отключены. [crypto_keylength]

    This project does not depend on cryptography of data.



    Механизмы безопасности по умолчанию в программном обеспечении, создаваемом проектом, НЕДОПУСТИМО делать зависимыми от взломанных криптографических алгоритмов (например, MD4, MD5, single DES, RC4, Dual_EC_DRBG) или использовать режимы шифрования, которые не подходят для контекста, если только они не требуются для интероперабельности протокола (поддерживающего самую новую версию стандарта на этот протокол, широко распространенного в сетевой экосистеме, причем эта экосистема требует использования данного алгоритма или режима, не предлагая более безопасных альтернатив). В документации НЕОБХОДИМО описать все связанные с этим риски безопасности и все известные способы смягчения рисков, если данные алгоритмы или режимы действительно нужны для совместимости с другими реализациями этого протокола. [crypto_working]

    This project does not depend on cryptography of data.



    Механизмы безопасности по умолчанию в программном обеспечении, создаваемом проектом, НЕ СЛЕДУЕТ делать зависимыми от криптографических алгоритмов или режимов с известными серьезными слабостями (например, криптографический алгоритм хеширования SHA-1 или режим CBC в SSH). [crypto_weaknesses]

    This project does not depend on cryptography of data.



    В механизмах безопасности в программном обеспечении, создаваемом проектом, СЛЕДУЕТ реализовать совершенную прямую секретность для протоколов соглашений о ключах, чтобы ключ сеанса, произведенный из набора долгосрочных ключей, не мог быть скомпрометирован, если один из долгосрочных ключей скомпрометирован в будущем. [crypto_pfs]

    This project does not depend on cryptography of data.



    Если ПО, создаваемое проектом, требует хранить пароли для аутентификации внешних пользователей, НЕОБХОДИМО хранить пароли как итерированные хеши с солью для каждого пользователя с использованием алгоритма (итерированного) растяжения ключа (например, PBKDF2, Bcrypt или Scrypt). См. также: OWASP Password Storage Cheat Sheet (на англ.). [crypto_password_storage]

    The trusted authentication provider for Smart Village Project is Red Hat Single Sign On. Red Hat Single Sign-On (RH-SSO) provides Web single sign-on and identity federation based on SAML 2.0, OpenID Connect and OAuth 2.0 specifications. See here: https://smartvillage.computate.org/user



    Механизмы безопасности в программном обеспечении, создаваемом проектом, ОБЯЗАНЫ генерировать все криптографические ключи и временные значения с использованием криптографически безопасного генератора случайных чисел; НЕДОПУСТИМО делать это с использованием генераторов, которые криптографически небезопасны. [crypto_random]

    This project does not depend on cryptography of data.


  • Доставка, защищенная от атак посредника (MITM)


    Проект ОБЯЗАН использовать механизм доставки, устойчивый против атак посредника (MITM). Приемлемо использование https или ssh + scp. [delivery_mitm]

    The project website for Smart Village Project supports HTTPS using TLS with valid certificates as you can see here: https://smartvillage.computate.org



    НЕДОПУСТИМО получать криптографические контрольные суммы (например, sha1sum) по HTTP и использовать их без проверки криптографической подписи. [delivery_unsigned]

    This project does not depend on retrieving cryptographic hashes.


  • Исправление обнародованных уязвимостей


    НЕДОПУСТИМО оставлять незакрытыми уязвимости со степенью серьезности средней или выше, опубликованные более 60 дней назад. [vulnerabilities_fixed_60_days]

    This is still a work-in-progress for Smart Village Project.

    We have submitted a pull request to vertx-zookeeper that was merged to fix several of the current vulnerabilities in the project. We are waiting for these changes to be released in the right version of Vert.x supported by Red Hat GA. https://github.com/vert-x3/vertx-zookeeper/pull/130

    We have submitted a pull request to apache/curator to fix several of the current vulnerabilities in the project. https://github.com/apache/curator/pull/440



    Проектам СЛЕДУЕТ оперативно исправлять критические уязвимости после сообщения о них. [vulnerabilities_critical_fixed]

    This is still a work-in-progress for Smart Village Project.

    We have submitted a pull request to vertx-zookeeper that was merged to fix several of the current vulnerabilities in the project. We are waiting for these changes to be released in the right version of Vert.x supported by Red Hat GA. https://github.com/vert-x3/vertx-zookeeper/pull/130

    We have submitted a pull request to apache/curator to fix several of the current vulnerabilities in the project. https://github.com/apache/curator/pull/440


  • Другие вопросы безопасности


    НЕДОПУСТИМА утечка действующих частных учетных данных (например, рабочий пароль или закрытый ключ), предназначенных для ограничения общего доступа, из публичных репозиториев. [no_leaked_credentials]

    All credentials for Smart Village Project are stored as Hashicorp vault data, environment variables, configuration files, or secrets that are not included in this project.


  • Статический анализ кода


    НЕОБХОДИМО применять по крайней мере, один инструмент анализа статического кода (помимо предупреждений компилятора и "безопасных" режимов языка) к любой предлагаемой основной версии создаваемого ПО до ее выпуска, если есть хотя бы один инструмент на свободном ПО, который реализует этот критерий на выбранном языке. [static_analysis]

    Static code analysis is accomplished with the CodeQL build action for Smart Village Project on GitHub. It analyzes the Java code and reports Success or Failure, errors, and warnings: https://github.com/computate-org/smartabyar-smartvillage/actions/workflows/codeql.yml



    ЖЕЛАТЕЛЬНО включать по крайней мере в один из инструментов статического анализа, используемых для критерия static_analysis, правила или подходы для поиска распространенных уязвимостей в анализируемом языке или среде. [static_analysis_common_vulnerabilities]

    The CodeQL static code analysis tests for security vulnerabilities, bugs, and other errors, and supports Java code. See the About CodeQL documentation to learn more. https://codeql.github.com/docs/codeql-overview/about-codeql/



    Все уязвимости со средней и высокой степенью серьезности, обнаруженные при статическом анализе кода, НЕОБХОДИМО своевременно исправлять после их подтверждения. [static_analysis_fixed]

    See that the medium and higher severity vulnerabilities are resolved for Smart Village Project on GitHub. https://github.com/computate-org/smartabyar-smartvillage/actions/workflows/codeql.yml



    ЖЕЛАТЕЛЬНО выполнять анализ статического исходного кода при каждом коммите или по крайней мере ежедневно. [static_analysis_often]

    Static code analysis is enabled on every commit to the main branch. See the configuration here: https://github.com/computate-org/smartabyar-smartvillage/blob/main/.github/workflows/codeql.yml


  • Динамический анализ кода


    ЖЕЛАТЕЛЬНО применять по крайней мере один инструмент динамического анализа к любой предлагаемой основной (major) версии программного обеспечения перед ее выпуском . [dynamic_analysis]

    This is still a work-in-progress for Smart Village Project.



    ЖЕЛАТЕЛЬНО регулярно использовать по меньшей мере один динамический инструмент (например, fuzzer или сканер веб-приложения) в сочетании с механизмом для обнаружения проблем безопасности памяти, таких как перезапись буфера, если программное обеспечение, создаваемое проектом, включает части, написанные на небезопасном языке (например, C или C++). Если проект не создает программное обеспечение, написанное на небезопасном языке, выберите «неприменимо» (N/A). [dynamic_analysis_unsafe]

    This is still a work-in-progress for Smart Village Project.



    ЖЕЛАТЕЛЬНО включать в ПО, создаваемое проектом, достаточно много утверждений (assertions) времени выполнения, проверяемых при динамическом анализе. Во многих случаях эти утверждения не должны попадать в сборки под эксплуатацию (production). [dynamic_analysis_enable_assertions]

    This is still a work-in-progress for Smart Village Project.



    Проект ОБЯЗАН своевременно исправлять все уязвимости средней и выше степени серьезности, обнаруженные при динамическом анализе кода, после их подтверждения. [dynamic_analysis_fixed]

    This is still a work-in-progress for Smart Village Project.



Эти данные доступны под лицензией Creative Commons Attribution версии 3.0 или более поздней (CC-BY-3.0+). Все могут свободно делиться и адаптировать эти данные, но должны указывать соответствующие ссылки. При распространении, пожалуйста, указывайте "Christopher Tate and the OpenSSF Best Practices badge contributors".

Владелец анкеты на значок проекта: Christopher Tate.
2022-12-19 19:44:55 UTC, последнее изменение сделано 2022-12-19 20:05:02 UTC.

Назад