ONAP POLICY

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

これがあなたのプロジェクトなら、あなたのプロジェクトページにあなたのバッジステータスを表示してください！バッジステータスは次のようになります。

バッジステータスの埋め込み方法は次のとおりです。

バッジステータスを表示するには、あなたのプロジェクトのマークダウンファイルに以下を埋め込みます

[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/1614/badge)](https://www.bestpractices.dev/projects/1614)

あるいは、以下をHTMLに埋め込みます
<a href="https://www.bestpractices.dev/projects/1614"><img src="https://www.bestpractices.dev/projects/1614/badge"></a>

これらは

レベルの基準です。

または

レベル基準を表示することもできます。

分析 2/2 ●

動的コード分析

Criterion [dynamic_analysis]
適合

不適合

該当なし

?

プロジェクトは、リリース前にプロジェクトによって作成されたソフトウェアの主要な製品リリースに対して、少なくとも1つの動的解析ツールを適用しなければなりません。 ^{[dynamic_analysis]}
動的解析ツールは、ソフトウェアを特定の入力で実行して検査します。たとえば、プロジェクトは、ファジングツール（アメリカンファジーロップなど）やウェブアプリケーションスキャナ（例： ZAP または w3af ）です。場合によっては、 OSS-Fuzz プロジェクトがプロジェクトにファズテストを適用する可能性があります。この基準のために、動的分析ツールは、様々な種類の問題を探すために何らかの方法で入力を変更するかまたは少なくとも80％のブランチカバレッジを持つ自動テストスイートである必要があります。動的解析に関するWikipediaのページとファジングに関するOWASPページで、いくつかの動的解析ツールを特定しています。解析ツールは、セキュリティの脆弱性を探すことに重点を置くことができますが、これは必須ではありません。

The project runs sonar against the code on every code reviews. Jmeter is also used for analyzing the performance and application behavior on load conditions. Observability is available with prometheus metrics in the runtime applications.

Ex: https://jenkins.onap.org/job/policy-api-sonar-verify/ Jmeter analysis: https://docs.onap.org/projects/onap-policy-parent/en/latest/development/devtools/testing/s3p/api-s3p.html

Criterion [dynamic_analysis_enable_assertions]
適合

不適合

該当なし

?

プロジェクトは、生成するソフトウェアに多くの実行時アサーションを含めるべきであり、動的分析中にそれらのアサーションをチェックするべきです。 ^{[dynamic_analysis_enable_assertions]}
この基準は、本番環境でアサーションを有効にすることを示唆するものではありません。それは完全にプロジェクトとそのユーザーが決定することです。この基準の焦点は、展開前の動的分析中の障害検出を改善することです。プロダクション環境でのアサーションの有効化は、動的分析（テストなど）中にアサーションを有効にすることとはまったく異なります。場合によっては、プロダクション環境でアサーションを有効にすることは非常に賢明ではありません（特に高整合性コンポーネントの場合）。プロダクション環境でアサーションを有効にすることには多くの議論があります。たとえば、ライブラリは呼び出し元をクラッシュさせてはなりません。ライブラリが存在するとアプリストアによる拒否が発生する可能性があります。また、プロダクション環境でアサーションをアクティブにすると、秘密鍵などの秘密データが公開される可能性があります。多くのLinuxディストリビューションではNDEBUGが定義されていないため、これらのディストリビューションのプロダクション環境ではデフォルトで C/C++ assert() が有効になります。これらの環境でのプロダクション環境では、別のアサーションメカニズムを使用するか、 NDEBUGを定義することが重要です。

The project validates prometheus metrics on the integration tests as runtime assertions. https://jenkins.onap.org/job/policy-api-master-project-csit-api/1829/robot/Api-Test%20&%20Api-Slas/Api-Slas/

This data is available under the Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0). This means that a Data Recipient may share the Data, with or without modifications, so long as the Data Recipient makes available the text of this agreement with the shared Data. Please credit mrsjackson76 and the OpenSSF Best Practices badge contributors.

プロジェクトバッジ登録の所有者： mrsjackson76.
エントリの作成日時 2018-02-02 19:29:43 UTC、 最終更新日 2024-11-05 13:37:29 UTC 最後に2018-05-02 14:24:07 UTCにバッジ合格を達成しました。

もどる

ONAP POLICY

基本的情報 5/5 ●

識別情報

前提要件

プロジェクトの管理・運営

その他

変更管理 4/4 ●

公開されたバージョン管理ソースリポジトリ

品質 7/7 ●

コーディング標準

作業ビルドシステム

自動テストスイート

セキュリティ 4/5 ●

優良な暗号手法を使用する

MITM（man-in-the-middle：中間者）攻撃に対応できる安全な配信

その他のセキュリティ上の課題

分析 2/2 ●

動的コード分析

ONAP POLICY

基本的情報 5/5 ●

識別情報

前提要件

プロジェクトの管理・運営

その他

変更管理 4/4 ●

公開されたバージョン管理ソースリポジトリ

品質 7/7 ●

コーディング標準

作業ビルドシステム

自動テスト スイート

セキュリティ 4/5 ●

優良な暗号手法を使用する

MITM（man-in-the-middle：中間者）攻撃に対応できる安全な配信

その他のセキュリティ上の課題

分析 2/2 ●

動的コード分析

自動テストスイート