BadgeApp

变更控制 1/1 ●

之前的版本

Criterion [maintenance_or_update]
完成

不完整

N/A

?

该项目必须维护最常用的旧版本的产品或提供较新版本的升级路径。如果升级路径很困难，项目必须记录如何执行升级（例如，给出更改的接口描述和详细的建议步骤以帮助升级）。 ^{[maintenance_or_update]}

All major releases are tagged in gerrit and the artifacts are stored with the release information on onap.nexus. So we can access all old versions of the artifact. If and when a upgrade requires certain steps to be followed they are being added to the release documents as needed

分析 2/2 ●

静态代码分析

Criterion [static_analysis_common_vulnerabilities]
完成

不完整

N/A

?

如果至少有一个FLOSS工具能够以所选择的语言实现此条款，则该项目必须至少使用一个具有规则或方式的静态分析工具来查找分析语言或环境中的常见漏洞。 ^{[static_analysis_common_vulnerabilities]}
专门设计用于寻找常见漏洞的静态分析工具更有可能找到它们。也就是说，使用任何静态工具通常会帮助找到一些问题，所以我们“通过”级别的徽章建议，但不要求这个条款。

Sonar uses different rules for static code analysis. The list of rules used by APPC is: https://sonar.onap.org/coding_rules#qprofile=java-sonar-way-74911|activation=true
动态代码分析

Criterion [dynamic_analysis_unsafe]
完成

不完整

N/A

?

如果由项目生成的软件包含使用内存不安全语言编写的软件（例如，C或C ++），则项目必须至少使用一个动态工具（例如，fuzzer或web应用扫描程序）与一种检测缓冲区覆写等内存安全问题的机制组合例行使用。如果项目不生成以内存不安全语言编写的软件，请选择“不适用”（N/A）。 ^{[dynamic_analysis_unsafe]}
检测内存安全问题的机制的示例包括AddressSanitizer（ASAN）（可在GCC和LLVM中使用），“Memory Sanitizer”和 valgrind 。其他可能使用的工具包括ThreadSanitizer和UndefinedBehaviorSanitizer。广泛的断言也将起作用。

APPC uses Java

此数据在知识共享署名3.0或更高版本许可证（CC-BY-3.0 +）下可用。所有内容都可以自由分享和演绎，但必须给予适当的署名。请署名为mrsjackson76和OpenSSF最佳实践徽章贡献者。

ONAP APPC (Application Controller)

基本 14/17 ●

识别

先决条件

基本项目网站内容

项目监督

文档

无障碍和国际化

其他

变更控制 1/1 ●

之前的版本

报告 3/3 ●

错误报告流程

漏洞报告流程

质量 19/19 ●

编码标准

可工作的构建系统

安装系统

外部维护的组件

自动测试套件

新功能测试

警告标志

安全 13/13 ●

安全开发知识

使用基础的良好加密实践

安全发布

其他安全问题

分析 2/2 ●

静态代码分析

动态代码分析