t3x-nr-passkeys-be

遵循以下最佳实践的项目将能够自愿的自我认证,并显示他们已经实现了核心基础设施计划(OpenSSF)徽章。

没有一套可以保证软件永远不会有缺陷或漏洞的做法;如果规范或假设是错误的,即使合适的方法也可能失败。也没有哪些做法可以保证一个项目能够维持健康和运作良好的开发者社区。但是,遵循最佳做法可以帮助改善项目的成果。例如,一些做法可以在发布之前进行多人评估,这可以帮助您找到其他难以找到的技术漏洞,并帮助建立信任,并希望不同公司的开发人员之间进行重复的交互。要获得徽章,必须满足所有“必须”和“禁止”的条款,满足所有“应该”条款或有合适的理由,所有“建议”条款必须满足或未满足(至少希望考虑)。欢迎通过 GitHub网站创建问题或提出请求进行反馈。另外还有一个一般讨论邮件列表

如果这是您的项目,请在您的项目页面上显示您的徽章状态!徽章状态如下所示: 项目12037的徽章级别为silver 这里是如何嵌入它:
您可以通过将其嵌入在您的Markdown文件中:
[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/12037/badge)](https://www.bestpractices.dev/projects/12037)
或将其嵌入到HTML中来显示您的徽章状态:
<a href="https://www.bestpractices.dev/projects/12037"><img src="https://www.bestpractices.dev/projects/12037/badge"></a>


这些是白银级别条款。您还可以查看通过黄金级别条款。

Baseline Series: 基准等级1 基准等级2 基准等级3

        

 基本 17/17

  • 常规

    请注意,其他项目可能使用相同的名称。

    TYPO3 extension for passwordless backend authentication via WebAuthn/FIDO2 Passkeys

    请使用 SPDX许可证表达格式;例子包括“Apache-2.0”,“BSD-2-Clause”,“BSD-3-Clause”,“GPL-2.0+”,“LGPL-3.0 +”,“MIT”和“(BSD-2-Clause OR Ruby)”。
    如果有多种语言,请将它们列为逗号分隔值(可选空格),并将它们从最多到最少使用。如果有长列表,请至少列出前三个最常见的列表。如果没有语言(例如,这是仅文档或仅测试项目),请使用单个字符“ - ”。请使用每种语言的常规大小写,例如“JavaScript”。
    通用平台枚举(CPE)是用于信息技术系统,软件和软件包的结构化命名方案。在报告漏洞时,它可用于多个系统和数据库。
  • 先决条件


    项目必须拥有通过徽章。 [achieve_passing]

  • 基本项目网站内容


    关于如何贡献的信息必须包括对可接受的贡献的要求(例如,引用任何所需的编码标准)。 (需要网址) [contribution_requirements]

    CONTRIBUTING.md documents quality requirements (PHPStan level 10, PER-CS3.0 code style, unit tests, mutation tests) and PR process including conventional commits and signed commits. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/CONTRIBUTING.md


  • 项目监督


    该项目应该有一个合法机制,所有对项目软件做出显著贡献的开发人员都声明他们有合法授权作出这些贡献。最常用且易于实施的方法是使用开发者原产地证书(DCO),用户可以在其提交中添加“signed-off-by”,另外,项目链接到DCO网站。本条款也可以使用贡献者许可协议(CLA)或其他法律机制实现。 (需要网址) [dco]
    DCO是推荐的机制,因为它易于实现,在源代码中进行跟踪,并且git使用“commit -s”直接支持“签名”功能。更有效的是,项目文件解释了该项目的“签名”手段。 CLA是一项法律协议,用于定义知识产权许可给组织或项目的条款。捐助者转让协议(CAA)是将知识产权权利转让给另一方的法律协议;项目不必具备CAA,因为CAA增加了潜在贡献者不愿贡献的风险,特别是如果接收者是一个营利性组织。 Apache Software Foundation CLA(个人贡献者许可证和公司CLA)是CLA的示例,用于确定项目的这些CLA的风险对项目的影响小于其获益。

    All commits are required to use --signoff (Signed-off-by trailer) for DCO compliance, as documented in CONTRIBUTING.md. Compliance is verified during code review and via project contribution guidelines. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/CONTRIBUTING.md#pull-request-process



    该项目必须明确定义和记录其项目治理模式(决策方式,包括关键角色)。 (需要网址) [governance]
    需要有一些成熟的书面方式来作出决定和解决争端。在小项目中,这可能就像“项目拥有者和负责人做所有最终决定”一样简单。有各种治理模式,包括仁慈的独裁者和正式的精英统治;有关详细信息,请参阅治理模式。集中式(例如,单一维护者)和分散式(例如,组维护者)方法都已经在项目中成功使用。治理信息不需要记录创建项目分支的可能性,因为对于FLOSS项目来说总是可能的。

    The project is maintained by Netresearch DTT GmbH with governance documented in CONTRIBUTING.md (contribution process, quality requirements, PR review process) and CODEOWNERS (team ownership). Architectural decisions are documented in the DeveloperGuide. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/CONTRIBUTING.md and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/.github/CODEOWNERS



    该项目必须采取行为守则,并将其发布在标准的位置。 (需要网址) [code_of_conduct]
    项目可能能够提高社区的文明程度,并通过采取行为守则来规定对可接受的行为的期望。这可以帮助在发生问题之前避免问题,并使项目成为更加欢迎的地方来鼓励贡献。这应该只关注项目社区/工作场所的行为。行为规范的示例是贡献者约定行为准则和Linux内核代码冲突

    CODE_OF_CONDUCT.md implements the Contributor Covenant 3.0. Referenced from CONTRIBUTING.md. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/CODE_OF_CONDUCT.md



    该项目必须明确定义和公开记录项目中的关键角色及其职责,包括这些角色必须执行的任务。必须清楚指出谁是什么角色,尽管这可能没有以相同的方式记录下来。 (需要网址) [roles_responsibilities]
    治理和角色和职责的文档可以在一个地方。

    CODEOWNERS defines @netresearch/typo3-team ownership of all code areas (Classes/, Tests/, .github/). CONTRIBUTING.md defines contributor roles and expectations. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/.github/CODEOWNERS and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/CONTRIBUTING.md



    如果任何一个开发者丧失工作能力或丧生,该项目必须能够继续保持最小的中断。特别是,在确认个人无行为能力或死亡的一周内,项目必须能够创建和关闭问题,接受提议的更改和发布软件版本。这可以通过确保其他人有任何必要的密钥,密码和合法权利来继续该项目。运行FLOSS项目的个人可以通过在锁箱中提供密钥,并提供任何所需的合法权利(例如DNS名称)来实现。 (需要网址) [access_continuity]

    The GitHub organization (netresearch) owns the repository with multiple team members having admin access via @netresearch/typo3-team. Repository access is not dependent on any single individual. CODEOWNERS assigns team ownership. See https://github.com/netresearch/t3x-nr-passkeys-be and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/.github/CODEOWNERS



    项目必须具有2个或更多的“公交车因子”。 (需要网址) [bus_factor]
    “公交车系数”(又名“卡车因子”)是指最少数量的项目成员,如果突然离开项目(“被公交车撞了”),项目会由于缺乏具备知识的或有能力的人员而暂停。 卡车因子 工具可以对GitHub上的项目进行估计。有关详细信息,请参阅Cosentino等人的评估Git存储库的卡车因子

    Project is owned by Netresearch DTT GmbH organization with team-level access (@netresearch/typo3-team). Multiple developers have repository access. Knowledge documented in 11 RST chapters, ADRs, and AGENTS.md. See https://github.com/netresearch/t3x-nr-passkeys-be/tree/main/Documentation and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/.github/CODEOWNERS


  • 文档


    该项目必须有一个文档化的路线图,描述项目打算做什么,至少在下一年做什么。 (需要网址) [documentation_roadmap]
    项目可能没有实现路线图,没关系。路线图的目的是帮助潜在的用户和贡献者了解项目的预期方向。它不需要特别详细。

    GitHub Issues with the 'enhancement' label serve as a public roadmap. Feature requests are tracked via structured issue templates. See https://github.com/netresearch/t3x-nr-passkeys-be/issues?q=label%3Aenhancement and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/.github/ISSUE_TEMPLATE/feature_request.md



    该项目必须包括项目生成的软件的架构(也称为高级别设计)的文档。如果项目不产生软件,请选择“不适用”(N/A)。 (需要网址) [documentation_architecture]
    软件架构解释了程序的基本结构,即程序的主要组件,它们之间的关系以及这些组件和关系的关键属性。

    Documentation/DeveloperGuide/Index.rst documents the architecture: component overview, data flow, controllers, services, domain model, middleware, and event listeners. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/Documentation/DeveloperGuide/Index.rst



    该项目必须书面记录用户从项目生成的软件的安全性上可以获得和不能指望的内容(其“安全需求”)。 (需要网址) [documentation_security]
    这些是软件意图满足的安全需求。

    Documentation/Security/Index.rst documents all security measures: HMAC-signed challenge tokens, nonce replay protection, rate limiting, user enumeration prevention, credential ownership verification. SECURITY.md covers vulnerability reporting. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/Documentation/Security/Index.rst and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/SECURITY.md



    该项目必须为新用户提供“快速启动”指南,以帮助他们快速使用该软件。 (需要网址) [documentation_quick_start]
    这个想法是向用户展示如何入门,使软件完全可以做事情。这对于潜在用户是至关重要的。

    Documentation/Installation/Index.rst provides step-by-step installation instructions including Composer require, extension activation, and initial configuration. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/Documentation/Installation/Index.rst



    项目必须努力使文档与当前版本的项目结果(包括项目生成的软件)保持一致。任何已知的文档缺陷使其不一致必须修正。如果文档基本是最新的,但是错误地包括一些不再是真实的旧信息,那么将其视为缺陷,然后像往常一样进行跟踪和修复。 [documentation_current]
    该文档可以包括有关软件版本之间的差异或更改的信息,与/或链接到旧版本的文档。这个条款的意图在于努力保持文档的一致性,而不是文档必须完美。

    Documentation is updated with each release. The Changelog documents all changes per version. All 11 RST documentation chapters are kept current with the codebase. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/Documentation/Changelog/Index.rst and https://github.com/netresearch/t3x-nr-passkeys-be/tree/main/Documentation



    项目存储代码库首页和/或网站必须在获得成就的48小时内标识并超链接任何成就,包括此最佳实践徽章。 (需要网址) [documentation_achievements]
    一个成就是项目致力于满足的任何外部条款,包括徽章。该信息不需要在项目网站首页上。使用GitHub的项目可以通过将其添加到README文件中,将成果放在存储代码库首页。

    README.md displays achievement badges (CI status, Codecov coverage, OpenSSF Scorecard, PHPStan level 10, Infection MSI, TYPO3 compatibility, PHP version) and documents the full feature set. See https://github.com/netresearch/t3x-nr-passkeys-be#readme


  • 无障碍和国际化


    该项目(项目网站和项目成果)都应遵循无障碍最佳做法,使残疾人仍然可以参与项目,并在合理的情况下使用项目成果。 [accessibility_best_practices]
    对于Web应用程序,请参阅 Web 内容无障碍指导 (WCAG 2.0,英文) 以及其支持文档 理解 WCAG 2.0(英文);或者 W3C 无障碍信息(英文). 图形界面(GUI)应用考虑使用环境特定的无障碍指导(例如 Gnome, KDE, XFCE, Android, iOS, Mac, 以及 Windows). 一些TUI应用 (例如,`ncurses` 程序) 可以做一些特定的工作,增强可访问性(例如,`alpine` 的 `force-arrow-cursor` 设置)。多数命令行应用没有特别的无障碍设置。本条款经常是不涉及(N/A),例如,对于组件库。以下是一些要采取的行动或需要考虑的问题的例子:
    • 提供非文字内容的文字替代,以便于转换为其他需要的格式,如大字体、盲文、语音、符号或者简单文字( WCAG 2.0 指导 1.1 (英文))
    • 颜色不被用作传达信息,指示动作,提示响应或区分视觉元素的唯一视觉方式。 ( WCAG 2.0 指导 1.4.1(英文))
    • 文本和文字图像的视觉呈现对比度至少为4.5:1,除了大文本,次要文本和标识符之外。 ( WCAG 2.0 指导 1.4.3(英文))
    • 使用键盘可访问所有功能 (WCAG 指导 2.1)
    • 图形界面应用(GUI)或者Web应用在目标平台上,应该至少使用一种屏幕阅读器测试(例如,NVDA;Jaws;Windows上的WindowEyes;Mac & iOS上的VoiceOver;Linux/BSD上的Orca;Android上的TalkBack)。TUI程序可以减少过度渲染以防止屏幕阅读器的冗余读取。

    This is a backend-only TYPO3 extension. The user interface is rendered by TYPO3's FormEngine and backend module framework, which handle accessibility compliance. The extension does not implement custom frontend UI. See https://github.com/netresearch/t3x-nr-passkeys-be#overview and https://docs.typo3.org/m/typo3/reference-coreapi/main/en-us/ApiOverview/FormEngine/Index.html



    该项目产生的软件应该被国际化,以便为目标受众的文化,地区或语言进行简单的本地化。如果国际化(i18n)不适用(例如,该软件不会生成针对最终用户的文本,并且不排序可读文本),请选择“不适用”(N/A)。 [internationalization]
    本地化“是指适应产品,应用或文档内容以满足特定目标市场(语言环境)的语言,文化和其他要求。国际化是“设计和开发产品,应用或文档内容,使不同文化,地区或语言的目标受众更容易本地化”。 (请参阅 W3C的“本地化与国际化”)。软件只需通过国际化即可达到此标准。不需要另一种特定语言的本地化,因为一旦软件已被国际化,其他人就可以从事本地化。

    The extension uses TYPO3's standard xlf localization framework. All user-facing labels are in English xlf files (Resources/Private/Language/*.xlf) ready for translation. TYPO3 handles display language switching natively. See https://github.com/netresearch/t3x-nr-passkeys-be/tree/main/Resources/Private/Language and https://docs.typo3.org/m/typo3/reference-coreapi/main/en-us/ApiOverview/Localization/Index.html


  • 其他


    如果项目站点(网站,存储库和下载URL)存储用于外部用户认证的密码,则必须使用密钥拉伸(迭代)算法将密码存储为具有每用户盐值的迭代散列(例如,PBKDF2,Bcrypt或Scrypt)。如果项目站点不存储密码,请选择“不适用”(N/A)。 [sites_password_security]
    请注意,使用 GitHub 符合此条款。此条款仅适用于用于外部用户认证到项目站点的密码。如果项目站点必须登录到其他站点,则可能需要为此目的存储密码(因为使用像Bcrypt这样的算法会使这些密码无效)。本条款将 crypto_password_storage 条款应用于项目站点,类似于sites_https条款。

    This extension replaces password authentication with WebAuthn passkeys. No passwords are stored or managed by this extension. Password handling is delegated to TYPO3 core's SaltedPasswordService. See https://github.com/netresearch/t3x-nr-passkeys-be#overview and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/Documentation/Introduction/Index.rst


 变更控制 1/1

  • 之前的版本


    该项目必须维护最常用的旧版本的产品提供较新版本的升级路径。如果升级路径很困难,项目必须记录如何执行升级(例如,给出更改的接口描述和详细的建议步骤以帮助升级)。 [maintenance_or_update]

    The project is actively maintained with releases in February 2026 (v0.5.0), regular commits, responsive issue handling, and a comprehensive CI/CD pipeline. See https://github.com/netresearch/t3x-nr-passkeys-be/releases and https://github.com/netresearch/t3x-nr-passkeys-be/commits/main


 报告 3/3

  • 错误报告流程


    项目必须使用问题跟踪器来跟踪每个问题。 [report_tracker]

    GitHub Issues is used as the public issue tracker, with structured templates for bugs and feature requests. See https://github.com/netresearch/t3x-nr-passkeys-be/issues


  • 漏洞报告流程


    除了要求匿名的报告者外,该项目必须对过去12个月内解决的所有漏洞报告的报告者表示感谢。如果过去12个月没有修复漏洞,请选择“不适用”(N/A)。 (需要网址) [vulnerability_report_credit]

    SECURITY.md explicitly states: 'We will credit vulnerability reporters in the security advisory (unless anonymity is requested).' See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/SECURITY.md#what-to-expect



    该项目必须有一个书面的流程来响应漏洞报告。 (需要网址) [vulnerability_response_process]
    这与security_report_process有很强的相关性,它需要有一个书面的流程来报告漏洞。它还涉及到spam_report_response,它需要在一定时间内响应漏洞报告。

    SECURITY.md defines a detailed response process: acknowledgment, assessment, fix development, coordinated disclosure, and reporter credit. Response SLAs range from 48 hours (Critical) to 14 business days (Low). See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/SECURITY.md#response-timeline


 质量 19/19

  • 编码标准


    该项目必须确定其使用的主要语言的具体编码风格指南,并要求贡献一般情况下符合此要求。 (需要网址) [coding_standards]
    在大多数情况下,这是通过参考一些现有的风格指南来完成的,可能列出差异。这些风格指南可以包括提高可读性的方法和减少缺陷可能性(包括漏洞)的方法。许多编程语言有一个或多个广泛使用的风格指南。样式指南的示例包括 Google风格指南(英文) SEI CERT编码标准(英文)

    The project enforces PER-CS3.0 code style (PHP-CS-Fixer) and PHPStan level 10 with ergebnis/phpstan-rules for maximum static analysis strictness. Standards are documented in CONTRIBUTING.md. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/CONTRIBUTING.md#quality-requirements and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/Build/.php-cs-fixer.php



    如果至少有一个FLOSS工具可以应用于所选择的语言,项目必须自动执行其选定的编码风格。 [coding_standards_enforced]
    这可以使用静态分析工具和/或通过代码重新格式化强制代码实现。在许多情况下,工具配置包含在项目的存储库中(因为不同的项目可能会选择不同的配置)。项目可以允许风格例外(通常会);在发生例外的情况下(应该很少),它们必须在其位置的代码中记录在案,以便可以对这些例外进行检视,并使工具能够在将来自动处理它们。这些工具的例子包括ESLint(JavaScript)和Rubocop(Ruby)。

    Coding standards are enforced at multiple levels: CaptainHook pre-commit hooks run lint and PHPStan locally, and the GitHub Actions CI pipeline fails on any style violation or PHPStan error. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/.github/workflows/ci.yml and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/Build/captainhook.json


  • 可工作的构建系统


    本地二进制文件的构建系统必须遵守传递给它们的相关编译器和链接器(环境)变量(例如CC,CFLAGS,CXX,CXXFLAGS和LDFLAGS),并将它们传递给编译器和链接器。构建系统可以使用附加标志来扩展它们,但不能简单地用自己的替换提供的值。如果没有生成本地二进制文件,请选择“不适用”(N/A)。 [build_standard_variables]
    应该很容易启用特殊的构建功能,如地址消毒剂(Address Sanitizer,ASAN),或符合发布加固最佳实践(例如,通过轻松打开编译器标志来实现)。

    PHP/Composer project with no compilation step. There are no standard build variables (DESTDIR, PREFIX, etc.) applicable to interpreted PHP code distributed via Composer. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/composer.json and https://getcomposer.org/doc/01-basic-usage.md



    构建和安装系统在在相关标志中要求时,应该保留调试信息(例如,“install -s”未被使用)。如果没有构建或安装系统(例如典型的JavaScript库),请选择“不适用”(N/A)。 [build_preserve_debug]
    例如,如果使用这些语言,则应该设置CFLAGS(C)或CXXFLAGS(C ++)创建相关的调试信息,并且在安装过程中不应该剥离它们。支持和分析时,需要调试信息,也可用于测量编译二进制文件中加固特性的存在。

    PHP is an interpreted language. There are no compilation artifacts or debug symbols to preserve. Source code is shipped directly via Composer packages. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/composer.json and https://packagist.org/packages/netresearch/nr-passkeys-be



    如果子目录中存在交叉依赖关系,则由项目生成的软件的构建系统必须不能递归地构建子目录。如果没有构建或安装系统(例如典型的JavaScript库),请选择“不适用”(N/A)。 [build_non_recursive]
    项目构建系统的内部依赖关系信息需要准确,否则,对项目的更改可能无法正确构建。不正确的构建可能会导致缺陷(包括漏洞)。大型构建系统中的常见错误是使用“递归构建”或“递归生成”,即包含源文件的子目录的层次结构,其中每个子目录都是独立构建的。除非每个子目录完全独立,否则这是一个错误,因为依赖关系信息不正确。

    PHP/Composer project with no recursive build system. Composer resolves dependencies in a single pass. No Makefile-based recursive builds. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/composer.json and https://getcomposer.org/doc/01-basic-usage.md



    该项目必须能够重复从源代码文件生成的过程,并获得完全相同的比特位结果。如果没有发生构建(例如,直接使用源代码而不是编译使用的脚本语言),请选择“不适用”(N/A)。 [build_repeatable]
    GCC和clang用户可能会发现-frandom-seed选项有用;在某些情况下,这可以通过强制某种排序来解决。更多建议可以在可重复构建(英文)站点找到。

    Source-distributed PHP library via Composer/Packagist. Reproducibility of dependency resolution is the consuming application's responsibility via their composer.lock. The extension itself has no compiled artifacts. See https://packagist.org/packages/netresearch/nr-passkeys-be and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/composer.json


  • 安装系统


    该项目必须提供一种使用常用惯例轻松安装和卸载由项目生成的软件的方法。 [installation_common]
    示例包括使用软件包管理器(在系统或语言级别),“make install/uninstall”(支持DESTDIR),标准格式的容器或标准格式的虚拟机映像。安装和卸载过程(例如,打包)可以由第三方FLOSS软件实现。

    Standard Composer installation: 'composer require netresearch/nr-passkeys-be'. This is the standard PHP/TYPO3 package installation method. Documented in Installation guide. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/Documentation/Installation/Index.rst and https://packagist.org/packages/netresearch/nr-passkeys-be



    最终用户的安装系统必须遵守用于在安装时选择构建工件写入位置的标准约定。例如,如果在POSIX系统上安装文件,它必须遵守DESTDIR环境变量。如果没有安装系统或没有标准惯例,请选择“不适用”(N/A)。 [installation_standard_variables]

    PHP/Composer package installed via 'composer require'. No PREFIX, DESTDIR, or other standard installation variables apply. Composer manages installation paths automatically. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/Documentation/Installation/Index.rst and https://getcomposer.org/doc/01-basic-usage.md



    该项目必须为潜在开发人员提供一种快速安装所有项目成果和支持环境所必需的环境,包括测试套件和测试环境。必须通过常规惯例执行。 [installation_development_quick]
    可以使用生成的容器和/或安装脚本来实现。外部依赖关系一般通过调用系统和/或语言包管理器(根据 external_dependencies 条款)进行安装。

    CONTRIBUTING.md provides development setup instructions. The Makefile provides 'make up' for a full DDEV development environment setup. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/CONTRIBUTING.md#development-setup and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/Makefile


  • 外部维护的组件


    项目必须以计算机可处理的方式列出外部依赖关系。 (需要网址) [external_dependencies]
    通常这是使用包管理器和/或构建系统的约定完成的。请注意,这有助于实施 installation_development_quick

    All PHP dependencies are declared in composer.json. JavaScript dependencies are declared in package.json. No undeclared external dependencies. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/composer.json and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/package.json



    项目必须监视或定期检查其外部依赖(包括便利副本)以检测已知的漏洞,并修复可利用的漏洞或将其验证为不可利用的漏洞。 [dependency_monitoring]
    这可以使用源分析器/依赖项检查工具/软件组成分析工具(例如OWASP的Dependency-CheckSonatype的Nexus AuditorSynopsys的Black Duck软件组成分析Bundler-audit(针对Ruby))来完成。一些程序包管理器包括执行此操作的机制。如果无法利用组件的漏洞,这是可以接受的,但是这种分析是困难的,有时简单地更新或修复零件就更容易。

    Dependabot is enabled for both Composer and npm ecosystems, automatically creating PRs for dependency updates. The dependency-review action checks for vulnerabilities on every PR. Composer audit runs in CI. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/.github/dependabot.yml and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/.github/workflows/dependency-review.yml



    该项目必须满足下述情况之一:
    1. 可以轻松识别和更新重用的外部维护组件;
    2. 使用系统或编程语言提供的标准组件。
    这样,如果在重用的组件中发现了一个漏洞,将容易更新该组件。 [updateable_reused_components]
    符合这一条款的典型方法是使用系统和编程语言的包管理系统。许多FLOSS程序与“便利库”一起分发,这些库是标准库的本地副本(可能是分支)。一般没问题。但是,如果程序*必须*使用这些本地(分支)副本,则“标准”库的安全更新将使这些附加副本仍然易受攻击。这对于基于云的系统尤其是一个问题;如果云提供商更新他们的“标准”库,但程序不会使用它们,那么这些更新实际上不会有帮助。参见,例如,“Chromium:为什么它不在Fedora中作为适当的包”(Tom Callaway)

    Composer manages all dependency updates. Dependabot automatically creates PRs for security and version updates. Dependencies are pinned with semver ranges allowing patch updates. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/.github/dependabot.yml and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/composer.json



    该项目应避免使用已弃用或过时的功能和API,如果FLOSS替代品在其使用的技术集合(“技术堆栈”)中以及项目支持的大多数用户中可用(以便用户可以随时访问该替代品)。 [interfaces_current]

    API endpoints are documented in the README (login, self-service, admin routes with HTTP methods and paths) and in the DeveloperGuide RST chapter (controllers, data flow, domain model). See https://github.com/netresearch/t3x-nr-passkeys-be#api-endpoints and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/Documentation/DeveloperGuide/Index.rst


  • 自动测试套件


    必须将自动测试套件应用于至少一个分支的共享代码库的每次签入。该测试套件必须生成关于测试成功或失败的报告。 [automated_integration_testing]
    这个要求可以被视为test_continuous_integration的一个子集,但是仅仅是测试,而不需要持续集成。

    24 functional tests run with a real MySQL database in CI, testing actual database operations (credential CRUD, authentication flow). See https://github.com/netresearch/t3x-nr-passkeys-be/tree/main/Tests/Functional and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/.github/workflows/ci.yml



    该项目必须为过去六个月内修复的至少50%的错误,在自动化测试套件中添加回归测试。 [regression_tests_added50]

    CONTRIBUTING.md states 'Bug fixes should include a regression test'. The PR template includes a test checklist. CI enforces test coverage via mutation testing (MSI >= 80%). See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/CONTRIBUTING.md#writing-tests and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/.github/PULL_REQUEST_TEMPLATE.md



    如果有至少一个FLOSS工具可以以所选语言度量此条款,该项目的FLOSS自动测试套件必须具有至少80%语句覆盖率。 [test_statement_coverage80]
    许多FLOSS工具可用于度量测试覆盖范围,包括gcov / lcov,Blanket.js,Istanbul和JCov。请注意,满足这个条款并不能保证测试套件是完备的,而不满足该条款则意味着测试套件很差。

    93.14% statement coverage measured by Codecov, well above the 80% threshold. Coverage is tracked per PR and enforced via Codecov integration. See https://app.codecov.io/gh/netresearch/t3x-nr-passkeys-be and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/.github/workflows/ci.yml


  • 新功能测试


    该项目必须具有正式的书面策略,一旦添加了主要的新功能,新功能的测试必须被添加到自动测试套件中。 [test_policy_mandated]

    CONTRIBUTING.md mandates tests: 'New features must include unit tests' and 'Bug fixes should include a regression test'. The PR template includes a test checklist item. Mutation testing enforces test quality. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/CONTRIBUTING.md#writing-tests and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/.github/PULL_REQUEST_TEMPLATE.md



    该项目必须在其关于变更建议的书面指导中包括要为主要新功能添加测试的策略。 [tests_documented_added]
    但是,只要在实践中添加了测试,即使是非正式规则也是可以接受的。

    CONTRIBUTING.md requires tests for all new features and bug fixes. Tests are documented with PHPDoc comments and organized in structured directories (Unit, Functional, Fuzz). See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/CONTRIBUTING.md#writing-tests


  • 警告标志


    在实际允许时,项目必须最大限度地严格修复项目生成的软件中的警告。 [warnings_strict]
    某些项目无法有效启用某些警告。需要证明的是,项目正在努力的启用警告标志,以便早期发现错误。

    PHPStan runs at maximum level 10 with strict rules (ergebnis/phpstan-rules). PHP strict_types=1 in all source files. PHP-CS-Fixer enforces PER-CS3.0 with strict_param. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/Build/phpstan.neon


 安全 13/13

 分析 2/2

  • 静态代码分析


    如果至少有一个FLOSS工具能够以所选择的语言实现此条款,则该项目必须至少使用一个具有规则或方式的静态分析工具来查找分析语言或环境中的常见漏洞。 [static_analysis_common_vulnerabilities]
    专门设计用于寻找常见漏洞的静态分析工具更有可能找到它们。也就是说,使用任何静态工具通常会帮助找到一些问题,所以我们“通过”级别的徽章建议,但不要求这个条款。

    CodeQL (SAST) analyzes for common vulnerability patterns in JavaScript and Actions. PHPStan level 10 catches type errors, null references, and dead code. dependency-review-action blocks high-severity vulnerable dependencies. See https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/.github/workflows/codeql.yml and https://github.com/netresearch/t3x-nr-passkeys-be/blob/main/.github/workflows/dependency-review.yml


  • 动态代码分析


    如果由项目生成的软件包含使用内存不安全语言编写的软件(例如,C或C ++),项目必须至少使用一个动态工具(例如,fuzzer或web应用扫描程序)与一种检测缓冲区覆写等内存安全问题的机制组合例行使用。如果项目不生成以内存不安全语言编写的软件,请选择“不适用”(N/A)。 [dynamic_analysis_unsafe]
    检测内存安全问题的机制的示例包括AddressSanitizer(ASAN)(可在GCC和LLVM中使用),“Memory Sanitizer” valgrind 。其他可能使用的工具包括ThreadSanitizerUndefinedBehaviorSanitizer。广泛的断言也将起作用。

    Fuzz tests specifically target security-sensitive code paths: challenge token parsing (ChallengeTokenFuzzTest), credential ID handling (CredentialIdFuzzTest), and request payload parsing (RequestPayloadFuzzTest). These detect memory safety and input validation issues. See https://github.com/netresearch/t3x-nr-passkeys-be/tree/main/Tests/Fuzz



该数据可在社区数据许可协议 – 许可性,版本 2.0 (CDLA-Permissive-2.0)下获取。这意味着数据接收方可以共享数据,无论是否经过修改,只要数据接收方在共享数据时提供本协议文本。请注明Sebastian Mendel和OpenSSF最佳实践徽章贡献者。

项目徽章条目拥有者: Sebastian Mendel.
最后更新于 2026-02-25 16:10:18 UTC, 最后更新于 2026-02-25 22:33:30 UTC。 最后在 2026-02-25 16:42:22 UTC 获得通过徽章。