repository-scanner

Проекты, которые следуют приведенным ниже лучшим практикам, могут добровольно и самостоятельно оценить себя и продемонстрировать, что они получили значок Open Source Security Foundation (OpenSSF).

Если это ваш проект, пожалуйста, покажите свой значок на странице проекта! Статус значка выглядит следующим образом: Уровень значка для проекта 7799 - silver Вот как вставить его:

Это критерии уровня Silver. Вы также можете просмотреть критерии уровня Passing или Gold.

        

 Основы 17/17

  • Идентификация

    The Repository Scanner (RESC) is a tool used to detect secrets in source code management and version control systems (e.g. GitHub, BitBucket, or Azure DevOps). Among the types of secrets that the Repository Scanner detects are credentials, passwords, tokens, API keys, and certificates. The tool is maintained and updated by the ABN AMRO Bank to match the constantly changing cyber security landscape.

    The Repository Scanner was created to prevent that credentials and other sensitive information are left unprotected in code repositories. Exposing sensitive information in such a way can have severe consequences for the security posture of an organization. An attacker can use the data to compromise the organization's network. This can be prevented by scanning a repository with the RESC tool. It marks all the instances of exposed sensitive information in the source code.

  • Предварительные требования


    Достаточно для значка!

    Проект ОБЯЗАН получить значок уровня Passing. [achieve_passing]

  • Основная информация на веб-сайте проекта


    Достаточно для значка!

    В информацию о том, как внести вклад, НЕОБХОДИМО включить требования к приемлемым взносам (например, ссылку на любой требуемый стандарт кодирования). (Требуется URL) [contribution_requirements]

    https://github.com/abnamro/repository-scanner/blob/main/contributing.md


  • Надзор за проектом


    Достаточно для значка!

    Проекту СЛЕДУЕТ иметь юридический механизм, через который все авторы содержательных взносов в ПО проекта подтверждают, что они имеют законное право на внесение этих взносов. Самый распространенный и легко реализуемый подход для этого заключается в использовании Developer Certificate of Origin (DCO), при котором пользователи добавляют строку "signed-off-by" в свои коммиты, а проект ссылается на веб-сайт DCO. Но этот механизм МОЖЕТ быть реализован и в качестве Лицензионного соглашения с участниками (Contributor License Agreement, CLA) или другого правового механизма. (Требуется URL) [dco]

    All the RESC PRs required verified signature. https://github.com/abnamro/repository-scanner/pulls?q=


    Достаточно для значка!

    Проект ОБЯЗАН четко определить и задокументировать модель управления проектом (способ принятия решений, включая ключевые роли). (Требуется URL) [governance]

    We use GitHub to track proposed changes via its issue tracker and pull requests. pull request: https://github.com/abnamro/repository-scanner/pulls issues: https://github.com/abnamro/repository-scanner/issues


    Достаточно для значка!

    Проект ОБЯЗАН определить правила поведения и разместить эти правила в стандартном месте. (Требуется URL) [code_of_conduct]

    https://github.com/abnamro/repository-scanner/blob/main/code-of-conduct.md


    Достаточно для значка!

    Проект ОБЯЗАН четко определять и публично документировать ключевые роли в проекте и их обязанности, включая любые задачи, которые должны выполнять эти роли. Должно быть ясно, кто имеет какую роль(и), хотя это может быть и не задокументировано соответствующим образом. (Требуется URL) [roles_responsibilities]

    ABN AMRO is the owner of the project, who decides who will be working on the project. https://github.com/abnamro


    Достаточно для значка!

    Проект ОБЯЗАН быть в состоянии продолжать работу с минимальным прерыванием, если какой-либо человек окажется недееспособен или убит. В частности, проект ОБЯЗАН быть в состоянии создавать и закрывать вопросы в трекере, принимать предложенные изменения и выпускать версии программного обеспечения через неделю после подтверждения того, что данный человек недееспособен или убит. Это МОЖЕТ быть реализовано через обеспечение кого-то ещё необходимыми ключами, паролами и законными правами для продолжения проекта. Лица, которые запускают проект СПО, МОГУТ сделать это, оставив ключи в сейфе и завещание, передающее все необходимые юридические права (например, для имен DNS). (Требуется URL) [access_continuity]

    The project is maintained under ABN AMRO, ABN AMRO will take care of project. https://github.com/abnamro/repository-scanner/graphs/contributors


    Достаточно для значка!

    Проекту СЛЕДУЕТ поддерживать «коэффициент автобуса» 2 или более. (Требуется URL) [bus_factor]

    The project is maintained under ABN AMRO, ABN will take care of project. https://github.com/abnamro/repository-scanner/graphs/contributors


  • Документация


    Достаточно для значка!

    Проект ОБЯЗАН иметь задокументированный долгосрочный план (roadmap), описывающий, что проект намеревается, а что не намеревается делать, по крайней мере на ближайший год. (Требуется URL) [documentation_roadmap]

    https://github.com/abnamro/repository-scanner/blob/add-roadmap/docs/roadmap.md


    Достаточно для значка!

    Проект ОБЯЗАН включать документацию по архитектуре (также называемой высокоуровневым дизайном) ПО, создаваемого проектом. Выберите «неприменимо» (N/A), если проект не создает программное обеспечение. (Требуется URL) [documentation_architecture]

    https://github.com/abnamro/repository-scanner/tree/main/images example: https://github.com/abnamro/repository-scanner/blob/main/images/RESC_HighLevel_Diagram.png


    Достаточно для значка!

    Проект ОБЯЗАН документировать то, что пользователь может и чего он не должен ожидать с точки зрения безопасности от ПО, создаваемого проектом (его «требования безопасности»). (Требуется URL) [documentation_security]

    Достаточно для значка!

    Проект ОБЯЗАН предоставить руководство для быстрого начала работы для новых пользователей, чтобы помочь им быстро что-то сделать, используя ПО, создаваемое проект. (Требуется URL) [documentation_quick_start]

    examples: https://github.com/abnamro/repository-scanner/blob/main/deployment/resc-helm-wizard/images/RESC_Installation.gif https://github.com/abnamro/repository-scanner/blob/main/images/RESC_Preview.gif


    Достаточно для значка!

    Проект ОБЯЗАН прилагать усилия к тому, чтобы документация соответствовала текущей версии результатов проекта (включая ПО, создаваемое проектом). НЕОБХОДИМО исправлять любые известные дефекты документации, приводящие к ее непоследовательности. Если документация в целом актуальна, но ошибочно включает в себя некоторые более старые данные, которые больше не верны, просто рассматривайте это как дефект, отслеживайте и исправляйте, как обычно. [documentation_current]

    All the details are listed in the release versions https://github.com/abnamro/repository-scanner/releases


    Достаточно для значка!

    НЕОБХОДИМО размещать ссылку на любые свои достижения, включая этот значок передовой практики, на главной странице проекта и/или веб-сайте в течение 48 часов после открытого признания достижения. (Требуется URL) [documentation_achievements]

    https://github.com/abnamro/repository-scanner#readme example: https://www.bestpractices.dev/en/projects/7799 https://github.com/abnamro/repository-scanner/actions


  • Общедоступность и интернационализация


    Достаточно для значка!

    Проекту (как на сайтах проекта, так и в результатах работы проекта) СЛЕДУЕТ придерживаться передовой практики общедоступности, чтобы люди с ограниченными возможностями могли участвовать в проекте и использовать результаты проекта, где это имеет смысл. [accessibility_best_practices]

    The product and the documentation are straight-forward text-based and don't require UI colors/changes.


    Достаточно для значка!

    Проекту СЛЕДУЕТ интернационализировать создаваемое ПО, чтобы обеспечить легкую локализацию под культуру, регион или язык целевой аудитории. Выберите «неприменимо» (N/A), если интернационализация (i18n) не применяется (например, ПО не генерирует текст, предназначенный для конечных пользователей, и не сортирует текст, читаемый человеком), [internationalization]

    N/A its designed for english language.


  • Другое


    Достаточно для значка!

    Если на сайтах проекта (веб-сайт, хранилище и URL-адреса загрузки) хранятся пароли для аутентификации внешних пользователей, НЕОБХОДИМО хранить пароли как итерированные хеши с отдельной "солью" для каждого пользователя с использованием алгоритма (итерированного) растяжения ключа (например, Argon2id, Bcrypt, Scrypt или PBKDF2). Выберите «неприменимо» (N/A), если сайты проекта не хранят пароли для этой цели. [sites_password_security]

    We are not using any cryptographic mechanism, because we dont have functionality to store any sensitive data


  • Предыдущие версии


    Достаточно для значка!

    Проект ОБЯЗАН поддерживать наиболее часто используемые старые версии продукта или предоставлять возможность простого перехода на более новые версии (upgrade path). Если переход затруднен, проект ОБЯЗАН задокументировать порядок обновления (например, изменившиеся интерфейсы и подробные предлагаемые шаги для обновления). [maintenance_or_update]

    https://github.com/abnamro/repository-scanner/releases


  • Процесс сообщения об ошибках


    Достаточно для значка!

    Проект ОБЯЗАН использовать трекер вопросов (issue tracker) для отслеживания отдельных вопросов. [report_tracker]

    https://github.com/abnamro/repository-scanner/issues?q=


  • Процесс отчета об уязвимостях


    Достаточно для значка!

    Проект ОБЯЗАН отмечать автора(-ов) всех отчетов об уязвимостях, разрешенных за последние 12 месяцев, за исключением авторов, которые просят об анонимности. Выберите «неприменимо» (N/A), если в течение последних 12 месяцев не было обнаружено никаких уязвимостей. (Требуется URL) [vulnerability_report_credit]

    Till now no one has reported any vulnerabilities. https://github.com/abnamro/repository-scanner/security/policy


    Достаточно для значка!

    Проект ОБЯЗАН иметь документированный процесс реагирования на отчеты об уязвимостях. (Требуется URL) [vulnerability_response_process]

    We have the security bug reporting policiy/guidelines https://github.com/abnamro/repository-scanner/security/policy


  • Стандарты кодирования


    Достаточно для значка!

    Проект ОБЯЗАН задать определенные правила стиля кодирования для основных языков, которые он использует, и требовать его соблюдения от предлагаемого кода. (Требуется URL) [coding_standards]

    PEP 8 styling guide is used for Python by using Pylint and Flake8. Pipeline code url: https://github.com/abnamro/repository-scanner/blob/main/.github/workflows/backend-ci.yaml#L65 https://github.com/abnamro/repository-scanner/blob/main/components/resc-backend/tox.ini#L9 Prettier is used to format and styling Vuejs code. Example - https://github.com/abnamro/repository-scanner/blob/main/components/resc-frontend/.prettierrc.json


    Достаточно для значка!

    Проект ОБЯЗАН автоматически применять свой выбранный стиль(и) кодирования, если есть хотя бы один инструмент на СПО, который может сделать это на выбранном языке (языках). [coding_standards_enforced]

    ESLint for VueJS - https://github.com/abnamro/repository-scanner/blob/main/components/resc-frontend/.eslintrc.js Prettier for VueJS - https://github.com/abnamro/repository-scanner/blob/main/components/resc-frontend/.prettierrc.json Pylnt for Python - https://github.com/abnamro/repository-scanner/blob/main/components/resc-backend/.pylintrc Sorting using isort - https://github.com/abnamro/repository-scanner/blob/main/components/resc-backend/.isort.cfg Datree for Kubernetes misconfigurations - https://github.com/abnamro/repository-scanner/blob/main/deployment/kubernetes/datree-policies.yaml


  • Рабочая система сборки


    Достаточно для значка!

    Системы сборки для нативных двоичных файлов ОБЯЗАНЫ учитывать соответствующие переменные (среды) для компилятора и компоновщика, переданные им (например, CC, CFLAGS, CXX, CXXFLAGS и LDFLAGS) и передавать их на вызовы компилятора и компоновщика. Система сборки МОЖЕТ расширять их дополнительными флагами; НЕДОПУСТИМО просто заменять предоставленные значения своими. Выберите «неприменимо» (N/A), если нативные двоичные файлы не создаются. [build_standard_variables]

    N/A native binaries are not generated.


    Достаточно для значка!

    В системах сборки и установки СЛЕДУЕТ сохранять отладочную информацию, если передаваемые флаги требуют этого (например, не используется «install -s»). Выберите «неприменимо» (N/A), если системы сборки или установки нет (например, для типичных библиотек JavaScript), . [build_preserve_debug]

    Present if debug mode is enabled.


    Достаточно для значка!

    НЕДОПУСТИМО, чтобы система сборки ПО, создаваемого проектом, рекурсивно собирала подкаталоги, если в подкаталогах есть кросс-зависимости. Выберите «неприменимо» (N/A), если системы сборки или установки нет (например, типичные библиотеки JavaScript). [build_non_recursive]

    N/A Python and Vue.js is used


    Достаточно для значка!

    Проект ОБЯЗАН быть в состоянии повторить процесс генерации информации из исходных файлов и получить такой же результат с точностью до бита. Выберите «неприменимо» (N/A), если в проекте не используется сборка (например, языки сценариев, в которых исходный код используется непосредственно вместо компиляции), . [build_repeatable]

    N/A Python and Vue.js is used


  • Система установки


    Достаточно для значка!

    Проект ОБЯЗАН предоставлять возможность легко установить и удалить ПО, создаваемое проектом, с использованием общепринятых способов. [installation_common]

    Installation instructions - https://github.com/abnamro/repository-scanner/tree/main/deployment/resc-helm-wizard


    Достаточно для значка!

    В системе установки для конечных пользователей НЕОБХОДИМО учитывать стандартные соглашения при выборе места, в которое собранные артефакты записываются при установке. Например, если она устанавливает файлы в системе POSIX, НЕОБХОДИМО учитывать переменную окружения DESTDIR. Если установочной системы или стандартного соглашения нет, выберите «неприменимо» (N/A). [installation_standard_variables]

    User is asked to choose storage location while deploying RESC. Example - https://github.com/abnamro/repository-scanner/blob/main/deployment/resc-helm-wizard/src/resc_helm_wizard/questions.py#L39


    Достаточно для значка!

    Проект ОБЯЗАН предоставить возможность потенциальным разработчикам быстро установить все результаты проекта и поддерживать среду, необходимую для внесения изменений, включая тесты и тестовое окружение. Проект ОБЯЗАН использовать для этого общепринятые соглашения. [installation_development_quick]

    Instructions to run unit testing, sorting and linting for Python code is done by tox command. Example - https://github.com/abnamro/repository-scanner/tree/main/components/resc-backend#run-unit-tests-linting-and-import-checks-locally

    VueJS - npm run ut and npm run lint commands used. https://github.com/abnamro/repository-scanner/blob/main/components/resc-frontend/README.md#testing


  • Компоненты, поддерживаемые извне


    Достаточно для значка!

    Проект ОБЯЗАН перечислять внешние зависимости в машинночитаемом виде. (Требуется URL) [external_dependencies]

    resc-backend: https://github.com/abnamro/repository-scanner/blob/main/components/resc-backend/requirements.txt resc-vcs-scraper: https://github.com/abnamro/repository-scanner/blob/main/components/resc-vcs-scraper/requirements.txt resc-vcs-scanner: https://github.com/abnamro/repository-scanner/blob/main/components/resc-vcs-scanner/requirements.txt resc-frontend: https://github.com/abnamro/repository-scanner/blob/main/components/resc-frontend/package.json resc-helm-wizard: https://github.com/abnamro/repository-scanner/blob/main/deployment/resc-helm-wizard/setup.cfg#L15


    Достаточно для значка!

    Проекты ОБЯЗАНЫ следить за своими внешними зависимостями или периодически проверять их (включая копии, сделанные для удобства) на предмет известных уязвимостей, а также исправлять уязвимости, которые могут быть использованы, или проверять невозможность их использования. [dependency_monitoring]

    We monitor or periodically check the vulnerabilities in external dependencies using Dependabot. https://github.com/abnamro/repository-scanner/security/dependabot

    Also AuditJS is integrated in Frontend pipeline to monitor javascript dependencies. Pipeline code - https://github.com/abnamro/repository-scanner/blob/main/.github/workflows/frontend-ci.yaml#L66 Pipeline job - https://github.com/abnamro/repository-scanner/actions/runs/6107034933/job/16573242269


    Достаточно для значка!

    Проект ОБЯЗАН:
    1. позволять легко идентифицировать и обновлять повторно используемые компоненты, поддерживаемые извне; или
    2. использовать стандартные компоненты, предоставляемые системой или языком программирования.
    В этом случае, если уязвимость обнаружена в повторно используемом компоненте, будет легко обновить этот компонент. [updateable_reused_components]

    External dependencies are maintained in requirements.txt for python components and package.json for vuejs. So its easy to identify and update these external dependencies.

    resc-backend: https://github.com/abnamro/repository-scanner/blob/main/components/resc-backend/requirements.txt resc-vcs-scraper: https://github.com/abnamro/repository-scanner/blob/main/components/resc-vcs-scraper/requirements.txt resc-vcs-scanner: https://github.com/abnamro/repository-scanner/blob/main/components/resc-vcs-scanner/requirements.txt resc-frontend: https://github.com/abnamro/repository-scanner/blob/main/components/resc-frontend/package.json resc-helm-wizard: https://github.com/abnamro/repository-scanner/blob/main/deployment/resc-helm-wizard/setup.cfg#L15


    Достаточно для значка!

    Проекту СЛЕДУЕТ избегать использования нерекомендуемых (deprecated) или устаревших (obsolete) функций и API в тех случаях, когда альтернативы на СПО доступны в используемом наборе технологий («стек технологий» проекта) и для подавляющего большинства пользователей, поддерживаемых проектом (т.е. так чтобы пользователи могли быстро воспользоваться этой альтернативой). [interfaces_current]

    We are not using any deprecated or obsolete functions and APIs. Recently we upgraded all dependencies to latest versions.

    https://github.com/abnamro/repository-scanner/pull/171 https://github.com/abnamro/repository-scanner/pull/158


  • Набор автотестов


    Достаточно для значка!

    НЕОБХОДИМО применять автоматический набор тестов к каждому коммиту в общий репозиторий по крайней мере для одной ветки. Этот набор тестов ОБЯЗАН создавать отчет об успешном или неудачном тестировании. [automated_integration_testing]

    Pytest is used in pipeline for unit testing of Python components: https://github.com/abnamro/repository-scanner/blob/main/.github/workflows/backend-ci.yaml#L52 Newman is used in pipeline for API testing of rest APIs: https://github.com/abnamro/repository-scanner/blob/main/.github/workflows/backend-ci.yaml#L154 Npm is used in pipeline for unit testing of Vuejs code: https://github.com/abnamro/repository-scanner/blob/main/.github/workflows/frontend-ci.yaml#L58


    Достаточно для значка!

    Проект ОБЯЗАН добавить регрессионные тесты к автоматизированному набору тестов по крайней мере на 50% ошибок, исправленных в течение последних шести месяцев. [regression_tests_added50]

    We have unit test for each of the bug fix.


    Достаточно для значка!

    Проект ОБЯЗАН иметь автоматические тестовые пакеты на СПО, которые обеспечивают покрытие не менее 80% инструкций кода, если есть хотя бы один инструмент на СПО, который может измерять этот критерий на выбранном языке. [test_statement_coverage80]

    We have few components which has 80% coverage, for the rest we are working on it. examples: resc-vcs-scraper: 82% https://github.com/abnamro/repository-scanner/actions/runs/6142241241/job/16663703821 resc-helm-wizard : 83% https://github.com/abnamro/repository-scanner/actions/runs/5666634632/job/15353775346 frontend - 86.56% https://github.com/abnamro/repository-scanner/actions/runs/6107034933/job/16573242269


  • Тестирование новых функций


    Достаточно для значка!

    Проект ОБЯЗАН иметь формальную задокументированную политику о том, что при добавлении существенной новой функциональности НЕОБХОДИМО добавлять тесты для новой функциональности в набор автоматических тестов. [test_policy_mandated]

    For each new/updated API endpoint we create Newman test and unit tests


    Достаточно для значка!

    Проект ОБЯЗАН включать в свои документированные инструкции для предложений об изменениях политику, по которой для существенной новой функциональности должны добавляться тесты. [tests_documented_added]

    https://github.com/abnamro/repository-scanner/releases


  • Флаги предупреждений


    Достаточно для значка!

    Проекты ОБЯЗАНЫ быть максимально строгими с предупреждениями в ПО, создаваемом проектом, где это целесообразно. [warnings_strict]

    All linter are ran in CI for early detection for any warnings/errors


  • Знание безопасной разработки


    Достаточно для значка!

    Проект ОБЯЗАН реализовывать принципы безопасного дизайна (из критерия «know_secure_design»), где это применимо. Выберите «неприменимо» (N/A), если проект не создает программное обеспечение. [implement_secure_design]

    In kubernetes deployments files we are using secure by default configuartion by adding the securityContext. Example: https://github.com/abnamro/repository-scanner/blob/main/deployment/kubernetes/charts/resc-database/templates/database_deployment.yaml#L52C11-L64C35

    Authenticated communication made while connecting with celery queues. Example: https://github.com/abnamro/repository-scanner/blob/main/components/resc-vcs-scanner/src/vcs_scanner/secret_scanners/celery_worker.py#L33

    We have secuerity headers in place for API response: In API: https://github.com/abnamro/repository-scanner/blob/main/components/resc-backend/src/resc_backend/resc_web_service/dependencies.py#L122 https://github.com/abnamro/repository-scanner/blob/main/components/resc-backend/src/resc_backend/constants.py#L96

    Deployment is made secure by using passwords for different components and passwords needs be provided by user during set up process using resc-helm-wizard cli. Example: https://github.com/abnamro/repository-scanner/tree/main/deployment/resc-helm-wizard


  • Основы правильного использования криптографии

    Обратите внимание, что некоторое ПО не нуждается в использовании криптографических механизмов.

    Достаточно для значка!

    В ПО, создаваемом проектом, НЕДОПУСТИМО делать механизмы безопасности по умолчанию зависимыми от криптографических алгоритмов или режимов с известными серьезными слабостями (например, криптографический алгоритм хеширования SHA-1 или режим CBC в SSH). [crypto_weaknesses]

    Yes, We are not using any cryptographic mechanism, because we dont have functionality to encrypt any data


    Достаточно для значка!

    Проекту СЛЕДУЕТ поддерживать несколько криптографических алгоритмов, чтобы пользователи могли быстро переключиться, если один из них поврежден. Общие симметричные ключевые алгоритмы включают AES, Twofish и Serpent. Общие алгоритмы контрольных сумм (хешей) включают SHA-2 (SHA-224, SHA-256, SHA-384 и SHA-512) и SHA-3. [crypto_algorithm_agility]

    Yes, We are not using any cryptographic mechanism, because we dont have functionality to encrypt any data


    Достаточно для значка!

    Проект ОБЯЗАН поддерживать хранение данных для аутентификации (например, паролей и динамических токенов) и закрытых криптографических ключей в файлах, отдельных от остальной информации (например, файлов конфигурации, баз данных и журналов) и позволять пользователям их обновление и замену без перекомпиляции кода. Выберите «неприменимо» (N/A), если проект никогда не работает с данными аутентификации и закрытыми криптографическими ключами. [crypto_credential_agility]

    N/A. We are not using any cryptographic mechanism, because we dont have functionality to encrypt/store any sensitive data


    Достаточно для значка!

    В ПО, создаваемом проектом, СЛЕДУЕТ поддерживать безопасные протоколы для всех сетевых коммуникаций, такие как SSHv2 или новее, TLS1.2 или новее (HTTPS), IPsec, SFTP и SNMPv3. По умолчанию СЛЕДУЕТ отключать небезопасные протоколы, такие как FTP, HTTP, telnet, SSLv3 или более ранние версии, и SSHv1, и разрешать их только в том случае, если пользователь явным образом это задаёт. Если программное обеспечение, созданное проектом, не поддерживает сетевые коммуникации, выберите «неприменимо» (N/A). [crypto_used_network]

    N/A


    Достаточно для значка!

    Если ПО, создаваемое проектом, поддерживает или использует TLS, ему СЛЕДУЕТ поддерживать как минимум версию TLS 1.2. Примечание: предшественник TLS называется SSL. Если программное обеспечение не использует TLS, выберите «неприменимо» (N/A). [crypto_tls12]

    N/A


    Достаточно для значка!

    В ПО, создаваемом проектом, НЕОБХОДИМО выполнять проверку сертификата TLS по умолчанию при использовании TLS, в том числе в подресурсах. Если программное обеспечение не использует TLS, выберите «неприменимо» (N/A). [crypto_certificate_verification]

    N/A


    Достаточно для значка!

    В ПО, создаваемом проектом, НЕОБХОДИМО, если поддерживается TLS, выполнять проверку сертификата TLS по умолчанию при использовании TLS, в том числе в подресурсах. Если программное обеспечение не использует TLS, выберите «неприменимо» (N/A). [crypto_verification_private]

    N/A


  • Безопасный выпуск


    Достаточно для значка!

    Проект ОБЯЗАН криптографически подписывать выпуски результатов проекта, предназначенные для широкого использования, и ОБЯЗАН иметь задокументированный процесс, объясняющий пользователям, как они могут получить общедоступные ключи подписи и проверить подпись(и) выпусков. НЕДОПУСТИМО размещать закрытый ключ для этих подписей на сайте(сайтах), используемом для прямого распространения ПО для общественности. Выберите «неприменимо» (N/A), если выпуски не предназначены для широкого использования. [signed_releases]

    N/A. We are not using any cryptographic mechanism, because we dont have functionality to encrypt/store any sensitive data


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО, чтобы в системе контроля версий каждый важный тег версии (тег, который является частью основного выпуска, минорной версии или исправляет общедоступные уязвимости) подписывался криптографической подписью и поддавался проверке, как описано в критерииsigned_releases. [version_tags_signed]

    Every release/commit is signed and verified. https://github.com/abnamro/repository-scanner/releases


  • Другие вопросы безопасности


    Достаточно для значка!

    В результатах проекта НЕОБХОДИМО проверять любой ввод из потенциально ненадежных источников, чтобы убедиться, что они действительны (*белый список*), и отклонять недействительный ввод, если вообще есть какие-либо ограничения на данные. [input_validation]

    We are using Pydantic as data validation library for Python components in all our schemas. Example: https://github.com/abnamro/repository-scanner/blob/main/components/resc-backend/src/resc_backend/resc_web_service/schema/detailed_finding.py

    For all of our rest apis, we are using validation for query parameters provided by Fast API. Example: https://github.com/abnamro/repository-scanner/blob/main/components/resc-backend/src/resc_backend/resc_web_service/endpoints/rule_packs.py#L132

    Also we have custom validation in place. Example: https://github.com/abnamro/repository-scanner/blob/main/components/resc-backend/src/resc_backend/resc_web_service/helpers/rule.py#L330

    Also we have proper exception handling in place to return error codes instead of any detailed error or stacktrace. Example: https://github.com/abnamro/repository-scanner/blob/main/components/resc-backend/src/resc_backend/resc_web_service/helpers/exception_handler.py


    Достаточно для значка!

    В ПО, создаваемом проектом, СЛЕДУЕТ использовать механизмы упрочнения безопасности (hardening), чтобы дефекты программного обеспечения с меньшей вероятностью приводили к уязвимостям в безопасности. [hardening]

    We have secuerity headers in place for API response: In API: https://github.com/abnamro/repository-scanner/blob/main/components/resc-backend/src/resc_backend/resc_web_service/dependencies.py#L122 https://github.com/abnamro/repository-scanner/blob/main/components/resc-backend/src/resc_backend/constants.py#L96

    In nginx ingress: https://github.com/abnamro/repository-scanner/blob/main/deployment/kubernetes/charts/resc-frontend/templates/frontend_ingress.yaml#L21

    We have also added few security headers to the project, to avoid security vulnerabilities https://github.com/abnamro/repository-scanner/blob/4e74a188a8cdb99027fbba67b288fe9c655c3e33/components/resc-backend/src/resc_backend/resc_web_service/dependencies.py#L109


    Достаточно для значка!

    Проект ОБЯЗАН предоставить обоснование того, что требования безопасности соблюдаются проектом. В обоснование НЕОБХОДИМО включить: описание модели угроз, четкое указание границ доверия, доказательство того, что использовались принципы безопасного дизайна, и доказательство того, что слабости в безопасности реализации нейтрализованы. (Требуется URL) [assurance_case]

    We, as part of a secure coding team of 6 developers working for Bank security, will prioritise security requirements from the start of the project, we work on shift left security, we have a threat model in place in our internal space. https://github.com/abnamro/repository-scanner/blob/main/docs/threatmodel.md Also, please see the photos below for the whole architecture model with security. https://github.com/abnamro/repository-scanner/tree/main/images


  • Статический анализ кода


    Достаточно для значка!

    Проект ОБЯЗАН использовать хотя бы один инструмент статического анализа с правилами или подходами для поиска распространенных уязвимостей в анализируемом языке или окружении, если есть хотя бы один инструмент на СПО, который может реализовать этот критерий на выбранном языке. [static_analysis_common_vulnerabilities]

    Running Infra structure as code scanning using Kics, Checkov, Kubeaudit and Datree Pipeline code link: https://github.com/abnamro/repository-scanner/blob/main/.github/workflows/k8-infra-ci.yaml Example pipeline: https://github.com/abnamro/repository-scanner/actions/runs/6014510860/job/16314362456

    Running docker image scanning using Trivy: Pipeline code link: https://github.com/abnamro/repository-scanner/blob/main/.github/workflows/backend-ci.yaml#L145 Example pipeline: https://github.com/abnamro/repository-scanner/actions/runs/6035763939/job/16377882702


  • Динамический анализ кода


    Достаточно для значка!

    Если ПО, создаваемое проектом, включает ПО, написанное с использованием небезопасного языка (например, C или C++), тогда проект ОБЯЗАН регулярно использовать хотя бы один динамический инструмент (например, фаззер или сканер веб-приложения) в сочетании с механизмом для обнаружения проблем безопасности памяти, таких как перезапись буфера. Выберите «неприменимо» (N/A), если проект не создает ПО, написанное на небезопасном языке. [dynamic_analysis_unsafe]

    We have written in Python. We are using OWASP ZAP in pipeline for running security scan for APIs. Pipeline code url: https://github.com/abnamro/repository-scanner/blob/main/.github/workflows/backend-ci.yaml#L163 Pipeline step- Running OWASP ZAP API Security Tests : https://github.com/abnamro/repository-scanner/actions/runs/6142241257/job/16663864855



Эти данные доступны под лицензией Creative Commons Attribution версии 3.0 или более поздней (CC-BY-3.0+). Все могут свободно делиться и адаптировать эти данные, но должны указывать соответствующие ссылки. При распространении, пожалуйста, указывайте "Repository-Scanner and the OpenSSF Best Practices badge contributors".

Владелец анкеты на значок проекта: Repository-Scanner.
2023-09-04 14:01:53 UTC, последнее изменение сделано 2023-09-29 13:59:59 UTC. Последний раз условия для получения значка были выполнены 2023-09-05 10:32:15 UTC.

Назад