BadgeApp

变更控制 0/1 ●

之前的版本

Criterion [maintenance_or_update]
完成

不完整

N/A

?

该项目必须维护最常用的旧版本的产品或提供较新版本的升级路径。如果升级路径很困难，项目必须记录如何执行升级（例如，给出更改的接口描述和详细的建议步骤以帮助升级）。 ^{[maintenance_or_update]}

分析 1/2 ●

静态代码分析

Criterion [static_analysis_common_vulnerabilities]
完成

不完整

N/A

?

如果至少有一个FLOSS工具能够以所选择的语言实现此条款，则该项目必须至少使用一个具有规则或方式的静态分析工具来查找分析语言或环境中的常见漏洞。 ^{[static_analysis_common_vulnerabilities]}
专门设计用于寻找常见漏洞的静态分析工具更有可能找到它们。也就是说，使用任何静态工具通常会帮助找到一些问题，所以我们“通过”级别的徽章建议，但不要求这个条款。

GitHub CodeQL https://docs.github.com/en/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql
动态代码分析

Criterion [dynamic_analysis_unsafe]
完成

不完整

N/A

?

如果由项目生成的软件包含使用内存不安全语言编写的软件（例如，C或C ++），则项目必须至少使用一个动态工具（例如，fuzzer或web应用扫描程序）与一种检测缓冲区覆写等内存安全问题的机制组合例行使用。如果项目不生成以内存不安全语言编写的软件，请选择“不适用”（N/A）。 ^{[dynamic_analysis_unsafe]}
检测内存安全问题的机制的示例包括AddressSanitizer（ASAN）（可在GCC和LLVM中使用），“Memory Sanitizer”和 valgrind 。其他可能使用的工具包括ThreadSanitizer和UndefinedBehaviorSanitizer。广泛的断言也将起作用。

警告：需要更长的理由。

This data is available under the Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0). This means that a Data Recipient may share the Data, with or without modifications, so long as the Data Recipient makes available the text of this agreement with the shared Data. Please credit Nick Burgan and the OpenSSF Best Practices badge contributors.

CiviForm

基本 2/17 ●

识别

先决条件

基本项目网站内容

项目监督

文档

无障碍和国际化

其他

变更控制 0/1 ●

之前的版本

报告 1/3 ●

错误报告流程

漏洞报告流程

质量 2/19 ●

编码标准

可工作的构建系统

安装系统

外部维护的组件

自动测试套件

新功能测试

警告标志

安全 0/13 ●

安全开发知识

使用基础的良好加密实践

安全发布

其他安全问题

分析 1/2 ●

静态代码分析

动态代码分析