GNU Astronomy Utilities (Gnuastro)

Les projets qui suivent les meilleures pratiques ci-dessous peuvent s'auto-certifier et montrer qu'ils ont obtenu le badge de la Open Source Security Foundation (OpenSSF).

Si c'est votre projet, veuillez indiquer votre statut de badge sur votre page de projet ! Le statut du badge ressemble à ceci : Le niveau de badge pour le projet 971 est in_progress Voici comment l'intégrer :

Ce sont les critères du niveau Basique. Vous pouvez également afficher les critères des niveaux Argent ou Or.

        

 Notions de base 13/13

  • Identification

    The GNU Astronomy Utilities (Gnuastro) is an official GNU package consisting of various programs and library functions for the manipulation and analysis of astronomical data. All the programs share the same basic command-line user interface for the comfort of both the users and developers. Gnuastro is written to comply fully with the GNU coding standards so it integrates finely with the GNU/Linux operating system. This also enables astronomers to expect a fully familiar experience in the source code, building, installing and command-line user interaction that they have seen in all the other GNU software that they use.

    Quel(s) langage(s) de programmation sont utilisés pour implémenter le projet ?

  • Contenu basique du site Web du projet


    Assez pour un badge !

    Le site du projet DOIT décrire succinctement ce que le logiciel fait (quel problème résout-il ?). [description_good]

    At the top of the software's main URL (https://www.gnu.org/software/gnuastro/), a short description is given. There is also a list of all the separate programs that the software contains in a link under the top description (it is like GNU Coreutils which builds and installs many programs in one software package).


    Assez pour un badge !

    Le site Web du projet DOIT fournir des informations sur la façon d'obtenir, de fournir des commentaires (comme des signalements de bogues ou des demandes d'amélioration) et de contribuer au logiciel. [interact]

    In the main project webpage (https://www.gnu.org/software/gnuastro/), there are clear titles "Gnuastro mailing lists", "Report a bug", and "Getting involved", with a description under each which contains links for users to easily provide feedback and contribute to the software.


    Assez pour un badge !

    L'information sur la façon de contribuer DOIT expliquer le processus de contribution (par exemple, les pull requests sont-ils utilisés ?) (URL requise) [contribution]

    The main webpage has the necessary top-level links. But the full description on the exact workflow is fully described in "Production workflow" section of the manual (https://www.gnu.org/software/gnuastro/manual/html_node/Production-workflow.html), and there is also a "Forking tutorial" section in the manual (https://www.gnu.org/software/gnuastro/manual/html_node/Forking-tutorial.html) with a fully working series of commands and processes necessary to Gnuastro's Git repository, make changes, commit and push them. Also on how to inform us and how to finally pull their work from the merged repository. As you see there, the importance of working on branches is also thoroughly discussed there. Many first time Git users have used this page so far and have made it more and more easier to use. Generally, there is a full "Developing" chapter in the manual (https://www.gnu.org/software/gnuastro/manual/html_node/Developing.html) which is only devoted to guidelines for the developers


    Assez pour un badge !

    Les informations sur la façon de contribuer DEVRAIENT inclure les exigences pour des contributions acceptables (par exemple, une référence à toute norme de codage requise). (URL requise) [contribution_requirements]

    The Gnuastro manual has a complete section devoted to "Coding conventions" (https://www.gnu.org/software/gnuastro/manual/html_node/Coding-conventions.html). Generally, there is a full "Developing" chapter in the manual (https://www.gnu.org/software/gnuastro/manual/html_node/Developing.html) which is only devoted to guidelines for the developers


  • Licence FLOSS

    Sous quelle(s) licence(s) le projet est-il distribué ?


    Assez pour un badge !

    Le logiciel produit par le projet DOIT être distribué en tant que FLOSS. [floss_license]

    Its copyright is GPL-3.0+ (https://git.savannah.gnu.org/cgit/gnuastro.git/tree/COPYING) The GPL-3.0 license is approved by the Open Source Initiative (OSI).


    Assez pour un badge !

    Il est PROPOSÉ que toute licence requise pour le logiciel produit par le projet soit approuvée par l'Open Source Initiative (OSI). [floss_license_osi]

    The GPL-3.0 license is approved by the Open Source Initiative (OSI).


    Assez pour un badge !

    Le projet DOIT afficher la ou les licences de ses résultats dans un emplacement standard dans leur dépôt source. (URL requise) [license_location]

    https://git.savannah.gnu.org/cgit/gnuastro.git/tree/COPYING


  • Documentation


    Assez pour un badge !

    Le projet DOIT fournir une documentation de base pour le logiciel produit par le projet. [documentation_basics]

    https://www.gnu.org/software/gnuastro/manual/html_node/index.html#Top

    The documentation is also available in many other formats (for example info' andman' on the command-line, PDF for print, plain text, and HTML). The documentation in all formats is available here: https://www.gnu.org/software/gnuastro/manual/index.html


    Assez pour un badge !

    Le projet DOIT fournir une documentation de référence qui décrit l'interface externe (entrée et sortie) du logiciel produit par le projet. [documentation_interface]

    Gnuastro has both libraries and binaries (programs). In the manual, following the GNU Coding Standards, all programs have a special "Invoking ProgramName" section which gives a few examples commands of how to run the program, followed by the description of options, here are some examples:

    https://www.gnu.org/software/gnuastro/manual/html_node/Invoking-astarithmetic.html https://www.gnu.org/software/gnuastro/manual/html_node/Invoking-astmkcatalog.html

    Also, the API for the library functions are also fully described in the manual, you can see the whole list of APIs in different headers in this link: https://www.gnu.org/software/gnuastro/manual/html_node/Gnuastro-library.html . Here is an example: https://www.gnu.org/software/gnuastro/manual/html_node/World-Coordinate-System.html


  • Autre


    Assez pour un badge !

    Les sites du projet (site Web, dépôt et URLs de téléchargement) DOIVENT supporter HTTPS en utilisant TLS. [sites_https]

    All webpages are hosted by GNU and support HTTPS, this is the top page: https://www.gnu.org/software/gnuastro/index.html


    Assez pour un badge !

    Le projet DOIT avoir un ou plusieurs mécanismes de discussion (y compris les changements et les problèmes proposés) qui peuvent être recherchés, permettent de désigner les messages et les sujets par une URL, permettent aux nouvelles personnes de participer à certaines des discussions et ne nécessitent pas d'installation côté client de logiciels propriétaires. [discussion]

    In Gnuastro, we do all development discussions in Savannah: http://savannah.gnu.org/projects/gnuastro/ . There are separate "Support", "Bug" and "Task" trackers. Each issue receives a special ID from Savannah and is classified by the part of Gnuastro that it relates to. It is possible to select issues based on many criteria. For example, here is the bug tracers: http://savannah.gnu.org/bugs/?group=gnuastro (clicking on "Display criteria" close to the top of the page will allow you to select the bugs by many classes). All discussions in all the trackers is also archived in the Gnuastro-devel mailing list ( http://lists.gnu.org/archive/html/gnuastro-devel/ ).


    Assez pour un badge !

    Le projet DEVRAIT fournir de la documentation en anglais et être en mesure d'accepter les signalements de bogues et les commentaires sur le code en anglais. [english]

    Everything in Gnuastro is currently only in English!


    Assez pour un badge !

    Le projet DOIT être maintenu. [maintained]


(Avancé) Quels autres utilisateurs ont les droits supplémentaires pour modifier cette soumission de badge? Actuellement : []



Gnuastro strives to follow the GNU Coding Standards for high quality code and user interface.

  • Dépôt source public sous contrôle de version


    Assez pour un badge !

    Le projet DOIT avoir un dépôt source sous contrôle de version qui est publiquement lisible et possède une URL. [repo_public]

    http://git.savannah.gnu.org/cgit/gnuastro.git


    Assez pour un badge !

    Le dépôt source du projet DOIT suivre les changements apportés, qui a effectué les changements et quand les changements ont été effectués. [repo_track]

    All Git repositories do this.


    Assez pour un badge !

    Pour permettre une analyse collaborative, le dépôt source du projet DOIT inclure des versions provisoires pour examen entre versions officielles ; Il NE DOIT PAS inclure que les dernières versions. [repo_interim]

    Every commit is given a unique version (based on `git describe'). Before major releases, we release tar-balls in this address: http://alpha.gnu.org/gnu/gnuastro/ . Once this tarball has been sufficiently tested and major bugs fixed do we make an official release. The full versioning of Gnuastro is discussed here: https://www.gnu.org/software/gnuastro/manual/html_node/Version-numbering.html


    Assez pour un badge !

    Il est PROPOSÉ qu'un logiciel reconnu de contrôle de version distribué soit utilisé (par exemple, git) pour le dépôt source du projet. [repo_distributed]

    Gnuastro is version controlled with Git: http://git.savannah.gnu.org/cgit/gnuastro.git


  • Numérotation unique de la version


    Assez pour un badge !

    Les résultats du projet DOIVENT avoir un identifiant de version unique pour chaque version destinée à être utilisée par les utilisateurs. [version_unique]

    Gnuastro does have a unique identifier for every commit (based on Git's `describe') and also major releases get a unique tag. For more, please see https://www.gnu.org/software/gnuastro/manual/html_node/Version-numbering.html


    Assez pour un badge !

    Il est PROPOSÉ d'utiliser le format de numérotation de version appelé Versionage Sémantique (SemVer) ou Versionage Calendaire (CalVer). Il est PROPOSÉ que ceux qui utilisent CalVer incluent une valeur de niveau micro. [version_semver]

    Assez pour un badge !

    Il est PROPOSÉ que les projets identifient chaque version dans leur système de contrôle de version. Par exemple, il est PROPOSÉ que ceux qui utilisent git identifient chaque version à l'aide des tags de git. [version_tags]

    Gnuastro uses Git tags for major releases, see under the "Tag" title in this link: http://git.savannah.gnu.org/cgit/gnuastro.git

    The Tag is then used for minor releases, as fully described here: https://www.gnu.org/software/gnuastro/manual/html_node/Version-numbering.html


  • Notes de version


    Assez pour un badge !

    Le projet DOIT fournir, avec chaque distribution, des notes de version qui sont un résumé lisible par les humains des changements majeurs dans cette version afin d'aider les utilisateurs à déterminer s'ils doivent se mettre à niveau et quel sera l'impact de la mise à niveau. Les notes de version NE DOIVENT PAS être la sortie brute d'un journal de contrôle de version (par exemple, les résultats de la commande « git log » ne sont pas des notes de version). Les projets dont les résultats ne sont pas destinés à être réutilisés dans plusieurs emplacements (tels que le logiciel pour un site Web ou un service unique) ET qui utilisent la livraison continue PEUVENT sélectionner « N/A ». (URL requise) [release_notes]

    Every major and alpha release of Gnuastro is announced in the `info-gnuastro' mailing list: http://lists.gnu.org/archive/html/info-gnuastro/

    As you can see in each, the announcement comes with a full copy of this release's section in the NEWS file (which is human readable file, even for someone who doesn't know programming or Git). Also, the hashes for the tarballs so users can be sure that what they get is what we distributed.


    Assez pour un badge !

    Les notes de version DOIVENT identifier toutes les vulnérabilités connues du public corrigées dans cette version qui avaient déjà une affectation CVE ou similaire lors de la création de la version. Ce critère peut être marqué comme non applicable (N/A) si les utilisateurs ne peuvent pas en général mettre à jour le logiciel eux-mêmes (par exemple, comme c'est souvent le cas pour les mises à jour du noyau). Ce critère s'applique uniquement aux résultats du projet, pas à ses dépendances. S'il n'y a pas de notes de version ou qu'il n'y a pas eu de vulnérabilité publiquement connue, choisissez N/A. [release_notes_vulns]

    The NEWS file in each release announcement describes all the important known vulnerabilities (bugs) that have been fixed: http://lists.gnu.org/archive/html/info-gnuastro/


  • Procédure de signalement des bogues


    Assez pour un badge !

    Le projet DOIT fournir un processus permettant aux utilisateurs de soumettre des signalements de bogue (par exemple, en utilisant un suivi des problèmes ou une liste de diffusion). (URL requise) [report_process]

    Any anonymous user can post an issue on our "Support tracker": http://savannah.gnu.org/support/?func=additem&group=gnuastro . They can also send mails to bug-gnuastro:a:t:gnu.org or help-gnuastro:a:t:gnu.org.


    Assez pour un badge !

    Le projet DEVRAIT utiliser un suivi des problèmes pour le suivi des problèmes individuels. [report_tracker]

    For bugs: http://savannah.gnu.org/bugs/?group=gnuastro For tasks: http://savannah.gnu.org/task/?group=gnuastro


    Assez pour un badge !

    Le projet DOIT confirmer une majorité des signalements de bogues soumis au cours des 2 à 12 derniers mois (inclus) ; la réponse ne doit pas nécessairement inclure une correction. [report_responses]

    The full list of solved and unsolved bugs are available in the main project management webpage: http://savannah.gnu.org/bugs/?group=gnuastro


    Assez pour un badge !

    Le projet DEVRAIT répondre à une majorité (>50%) des demandes d'amélioration au cours des 2 à 12 derniers mois (inclus). [enhancement_responses]

    All the enhancements and their discussions are listed in our task tracker: http://savannah.gnu.org/task/?group=gnuastro


    Assez pour un badge !

    Le projet DOIT avoir une archive publique pour les signalements et les réponses pour une recherche ultérieure. (URL requise) [report_archive]

    All the development discussions from all our trackers are distributed and archived through the gnuastro-devel mailing list: http://lists.gnu.org/archive/html/gnuastro-devel/


  • Processus de signalement de vulnérabilité


    Assez pour un badge !

    Le projet DOIT publier le processus de signalement des vulnérabilités sur le site du projet. (URL requise) [vulnerability_report_process]

    There is a "Report a Bug" section in out top webpage: https://www.gnu.org/software/gnuastro/#bug which discusses the process to inform us of any vulnerability.


    Assez pour un badge !

    Si les signalements de vulnérabilités privés sont pris en charge, le projet DOIT inclure la façon d'envoyer l'information de manière confidentielle. (URL requise) [vulnerability_report_private]

    Gnuastro is not a security software. If private issues must be discussed, users are encouraged to contact the maintainer directory (maintainer information is given on main webpage: https://www.gnu.org/software/gnuastro/


    Assez pour un badge !

    Le temps de réponse initial du projet pour tout signalement de vulnérabilité reçu au cours des 6 derniers mois DOIT être inférieur ou égal à 14 jours. [vulnerability_report_response]

    From the main project management webpage (https://savannah.gnu.org/projects/gnuastro/), it is visible that many bugs (all the important ones) are fixed almost immediately (as of mid May 2017: only 13 open from a total of 59). The rest are minor and will be fixed when the developers have time.


  • Système de construction opérationnel


    Assez pour un badge !

    Si le logiciel produit par le projet nécessite d'être construit pour être utilisé, le projet DOIT fournir un système de construction fonctionnel qui peut reconstruire automatiquement le logiciel à partir du code source. [build]

    Gnuastro uses the GNU Build System (./configure',make', make check',make install'): https://www.gnu.org/software/gnuastro/manual/html_node/Quick-start.html


    Assez pour un badge !

    Il est PROPOSÉ d'utiliser des outils courants pour la construction du logiciel. [build_common_tools]

    Gnuastro uses the GNU Build System (./configure',make', make check',make install'): https://www.gnu.org/software/gnuastro/manual/html_node/Quick-start.html


    Assez pour un badge !

    Le projet DEVRAIT être constructible en utilisant uniquement des outils FLOSS. [build_floss_tools]

    Gnuastro uses the GNU Build System (./configure',make', make check',make install'): https://www.gnu.org/software/gnuastro/manual/html_node/Quick-start.html


  • Suite de tests automatisée


    Assez pour un badge !

    Le projet DOIT utiliser au moins une suite de tests automatisée publiée publiquement comme FLOSS (cette suite de tests peut être maintenue sous la forme d'un projet FLOSS distinct). Le projet DOIT clairement montrer ou documenter comment exécuter la ou les suites de tests (par exemple, via un script d'intégration continue (CI) ou via la documentation dans des fichiers tels que BUILD.md, README.md ou CONTRIBUTING.md). [test]

    Gnuastro currently has 51 tests that are executed when the user runs `make check'.


    Assez pour un badge !

    Une suite de tests DEVRAIT être invocable d'une manière standard pour ce langage. [test_invocation]

    Gnuastro uses `make check'.


    Assez pour un badge !

    Il est PROPOSÉ que la suite de tests couvre la plupart (ou idéalement toutes) les branches du code, les champs de saisie et les fonctionnalités. [test_most]

    It covers most of the basic operations, it would be ideal to cover all, but the developers don't have enough resources to invest in them, so we have designed it based on the major features.


    Assez pour un badge !

    Il est PROPOSÉ que le projet utilise une intégration continue (où le code nouveau ou modifié est fréquemment intégré dans un dépôt de code central et des tests automatisés sont exécutés sur le résultat). [test_continuous_integration]

    Before each commit is pushed to the main repo a `make distcheck' is done and everything is checked. On major releases, it is tested as part of GNU Guix: http://hydra.gnu.org/job/gnu/master/gnuastro-0.2.x86_64-linux and Debian: https://packages.debian.org/sid/science/gnuastro . We do plan to include automatic continuous integration in the future.


  • Nouveau test de fonctionnalité


    Assez pour un badge !

    Le projet DOIT avoir une politique générale (formelle ou non) qui spécifie que, dès qu'une nouvelle fonctionnalité majeure est ajoutée au logiciel produit par le projet, des tests de cette fonctionnalité devraient être ajoutés à une suite de tests automatisée. [test_policy]

    With every major features, a test is added in the tests/' directory and thus tomake check'.


    Assez pour un badge !

    Le projet DOIT avoir la preuve que la politique de test pour l'ajout de tests a été respectée dans les dernières modifications majeures apportées au logiciel produit par le projet. [tests_are_added]

    Assez pour un badge !

    Il est PROPOSÉ que cette politique sur l'ajout de tests (voir la politique de test) soit documentée dans les instructions pour les propositions de modification. [tests_documented_added]

    In the "Developing" chapter of the Gnuastro book, we try to discuss this with the developers or those interested: https://www.gnu.org/software/gnuastro/manual/html_node/Test-scripts.html


  • Options d'avertissement


    Assez pour un badge !

    Le projet DOIT activer une ou plusieurs options d'avertissement du compilateur, un mode du langage « sûr » ou utiliser un outil « linter » séparé pour rechercher des erreurs de qualité de code ou des erreurs simples courantes, s'il existe au moins un outil FLOSS qui peut implémenter ce critère dans le langage sélectionné. [warnings]

    Gnuastro is built with the -Wall' flag: see AM_INIT_AUTOMAKE in ourconfigure.ac': http://git.savannah.gnu.org/cgit/gnuastro.git/tree/configure.ac


    Assez pour un badge !

    Le projet DOIT résoudre les avertissements. [warnings_fixed]

    We fix any compiler warnings that we see or are reported to us to have a clean build.


    Assez pour un badge !

    Il est PROPOSÉ que les projets soient maximalement stricts avec les avertissements dans le logiciel produit par le projet, quand cela est approprié. [warnings_strict]

    That is correct, For example this commit: http://git.savannah.gnu.org/cgit/gnuastro.git/commit/?id=195fae5be4f3 where several compiler warning were reported to us and we immediately addressed them.


  • Connaissance du développement sécurisé


    Assez pour un badge !

    Le projet DOIT avoir au moins un développeur principal qui sait comment concevoir un logiciel sécurisé. (Voir les « détails » pour les exigences exactes.) [know_secure_design]

    While the primary developer is an astronomer (not a security expert), Gnuastro has been designed with all the issues in this list in mind and actually applies all of them. Generally, in no time does Gnuastro need special privileges.


    Pas assez pour un badge.

    Au moins l'un des principaux développeurs du projet DOIT connaître les types courants d'erreurs qui conduisent à des vulnérabilités dans ce genre de logiciel, ainsi qu'au moins une méthode pour contrer ou atténuer chacun d'eux. [know_common_errors]

    Gnuastro does not deal with these kinds of operations.


  • Utiliser de bonnes pratiques de base de cryptographie

    Notez que certains logiciels n'ont pas besoin d'utiliser des mécanismes cryptographiques. Si votre projet produit un logiciel qui (1) inclut ou active la fonctionnalité de chiffrement, et (2) peut être publié des États-Unis (US) vers l'extérieur des États-Unis ou vers un citoyen autre qu'américain, vous pouvez être légalement obligé à faire quelques étapes supplémentaires. En règle générale, cela implique simplement l'envoi d'un email. Pour plus d'informations, consultez la section sur le chiffrement de Comprendre la technologie Open Source et les contrôles à l'exportation américains .

    Assez pour un badge !

    Le logiciel produit par le projet DOIT utiliser, par défaut, uniquement les protocoles cryptographiques et les algorithmes publiés publiquement et revus par des experts (si des protocoles et algorithmes cryptographiques sont utilisés). [crypto_published]

    Assez pour un badge !

    Si le logiciel produit par le projet est une application ou une bibliothèque, et si son objectif principal n'est pas d'implémenter de la cryptographie, alors il DEVRAIT simplement appeler un logiciel spécialement conçu pour implémenter des fonctions cryptographiques ; il ne DEVRAIT PAS ré-implémenter les siennes. [crypto_call]

    Assez pour un badge !

    Toutes les fonctionnalités du logiciel produit par le projet qui dépendent de la cryptographie DOIVENT être réalisables à l'aide de FLOSS. [crypto_floss]

    Assez pour un badge !

    Les mécanismes de sécurité dans le logiciel produit par le projet DOIVENT utiliser des longueurs de clés par défaut qui satisfont au moins aux exigences minimales du NIST jusqu'à l'année 2030 (comme indiqué en 2012). Il DOIT être possible de configurer le logiciel afin que les plus petites longueurs de clés soient complètement désactivées. [crypto_keylength]

    Assez pour un badge !

    Les mécanismes de sécurité par défaut dans le logiciel produit par le projet NE DOIVENT PAS dépendre d'algorithmes cryptographiques cassés (par exemple, MD4, MD5, DES unique, RC4, Dual_EC_DRBG) ou utiliser des modes de chiffrement inappropriés dans le contexte, sauf si ils sont nécessaires pour implémenter un protocole d'interopérabilité (où le protocole implémenté est la version la plus récente du standard supporté largement par l'écosystème du réseau, l'écosystème requiert l'utilisation de cet algorithme ou mode, et cet écosystème n'offre pas d'alternative plus sûre). La documentation DOIT décrire tous les risques de sécurité appropriés et les parades connues si ces algorithmes ou modes cassés sont nécessaires pour un protocole d'interopérabilité. [crypto_working]

    Assez pour un badge !

    Les mécanismes de sécurité par défaut dans le logiciel produit par le projet NE DEVRAIENT PAS dépendre d'algorithmes ou de modes cryptographiques avec des faiblesses sérieuses connues (par exemple, l'algorithme de hachage cryptographique SHA-1 ou le mode CBC en SSH). [crypto_weaknesses]

    Assez pour un badge !

    Les mécanismes de sécurité dans le logiciel produit par le projet DEVRAIENT implémenter la confidentialité persistante pour les protocoles d'échange de clés afin qu'une clé de session dérivée d'un ensemble de clés à long terme ne soit pas compromise si l'une des clés à long terme est compromise dans le futur. [crypto_pfs]

    Assez pour un badge !

    Si le logiciel produit par le projet entraîne la sauvegarde de mots de passe pour l'authentification d'utilisateurs externes, les mots de passe DOIVENT être sauvegardés comme hachages itérés avec un salage par utilisateur en utilisant un algorithme d'étirement de clé (itéré) (par exemple Argon2id, Bcrypt, Scrypt, ou PBKDF2). Voir également le pense-bête sur le stockage des clés d'OWASP. [crypto_password_storage]

    Assez pour un badge !

    Les mécanismes de sécurité dans le logiciel produit par le projet DOIVENT générer toutes les clés cryptographiques et les nonces en utilisant un générateur de nombres aléatoires cryptographiquement sécurisé, et NE DOIVENT PAS le faire en utilisant des générateurs qui ne seraient pas cryptographiquement sécurisés. [crypto_random]

  • Livraison sécurisée contre les attaques man-in-the-middle (MITM)


    Assez pour un badge !

    Le projet DOIT utiliser un mécanisme de livraison qui contrecarre les attaques MITM. L'utilisation de https ou ssh+scp est acceptable. [delivery_mitm]

    Assez pour un badge !

    Un hachage cryptographique (par exemple, un sha1sum) NE DOIT PAS être récupéré par http et utilisé sans vérifier une signature cryptographique. [delivery_unsigned]

  • Vulnérabilités publiquement identifiées et corrigées


    Assez pour un badge !

    Il ne DOIT pas y avoir de vulnérabilités non corrigées de gravité moyenne ou supérieure connues publiquement depuis plus de 60 jours. [vulnerabilities_fixed_60_days]

    Assez pour un badge !

    Les projets DEVRAIENT corriger rapidement toutes les vulnérabilités critiques après leur signalement. [vulnerabilities_critical_fixed]

  • Autres problèmes de sécurité


    Assez pour un badge !

    Les dépôts publics NE DOIVENT PAS fuiter un certificat privé valide (par exemple, un mot de passe ou une clé privée) qui est destiné à limiter l'accès public. [no_leaked_credentials]

  • Analyse statique de code


    Pas assez pour un badge.

    Au moins un outil d'analyse statique de code (au-delà des avertissements du compilateur et des modes « sûrs » des languages) DOIT être appliqué à toute distribution majeure proposée avant sa sortie s'il existe au moins un outil FLOSS qui implémente ce critère dans le langage sélectionné. [static_analysis]

    We will look into this and try to find a good static code analysis method.


    À peine suffisant pour un badge.

    Il est PROPOSÉ qu'au moins l'un des outils d'analyse statique utilisés pour le critère d'analyse statique inclue des règles ou des approches pour rechercher des vulnérabilités courantes dans le langage ou l'environnement analysé. [static_analysis_common_vulnerabilities]

    We haven't implemented a static code analyzer yer.


    Assez pour un badge !

    Toutes les vulnérabilités exploitables de gravité moyenne ou plus découvertes avec une analyse statique de code DOIVENT être corrigées en temps approprié après leur confirmation. [static_analysis_fixed]

    À peine suffisant pour un badge.

    Il est PROPOSÉ que l'analyse statique du code source se produise à chaque commit ou au moins quotidiennement. [static_analysis_often]

    We will implement static code analysis in the future.


  • Analyse dynamique de code


    À peine suffisant pour un badge.

    Il est PROPOSÉ qu'au moins un outil d'analyse dynamique soit appliqué à tout candidat pour une version majeure du logiciel avant sa distribution. [dynamic_analysis]

    Assez pour un badge !

    Il est PROPOSÉ que, si le logiciel produit par le projet comprend un logiciel écrit à l'aide d'un langage non sûr pour les accès mémoire (par exemple, C ou C ++), au moins un outil dynamique (par exemple, un fuzzer ou un scanner d'application Web) soit utilisé de façon routinière en combinaison avec un mécanisme pour détecter des problèmes de sécurité mémoire tels que les dépassements de zone mémoire. Si le projet ne produit pas de logiciel écrit dans un langage non sûr pour les accès mémoire, choisissez « non applicable » (N/A). [dynamic_analysis_unsafe]

    We use Valgrind for checking the dynamic memory allocations in Gnuastro.


    Assez pour un badge !

    Il est PROPOSÉ que le projet utilise une configuration pour au moins une analyse dynamique (comme le test ou le fuzzing) qui active de nombreuses assertions. Dans de nombreux cas, ces assertions ne doivent pas être activées dans les versions de production. [dynamic_analysis_enable_assertions]

    We check every allocation and it is only used if a non-NULL pointer is returned by malloc' orcalloc'.


    Assez pour un badge !

    Toutes les vulnérabilités exploitables de gravité moyenne ou plus découvertes avec une analyse de code dynamique DOIVENT être corrigées en un temps approprié après leur confirmation. [dynamic_analysis_fixed]

    We fix such issues immediately.



Ces données sont disponibles sous une licence Creative Commons Attribution version 3.0 ou ultérieure (CC-BY-3.0+). Chacun peut librement partager et adapter les données, à condition de créditer leur origine. Veuillez créditer Mohammad Akhlaghi et les contributeurs du badge des meilleures pratiques de la OpenSSF.

Soumission du badge du projet appartenant à : Mohammad Akhlaghi.
Soumission créée le 2017-05-17 17:02:27 UTC, dernière mise à jour le 2017-05-17 18:27:49 UTC.

Retour