Grid eXchange Fabric (GXF): formerly known as the Open Smart Grid Platform

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

これがあなたのプロジェクトなら、あなたのプロジェクトページにあなたのバッジステータスを表示してください!バッジステータスは次のようになります。 プロジェクト 4104 のバッジ レベルは silver です バッジステータスの埋め込み方法は次のとおりです。

これらはゴールドレベルの基準です。合格またはシルバーレベル基準を表示することもできます。

        

 基本的情報 4/5

  • 識別情報

    Grid eXchange Fabric (GXF) allows to monitor and control hardware in the public space. It's an open, generic, scalable and independent IoT platform!

  • 前提要件


    バッジには十分です!

    プロジェクトは、シルバー レベル バッジを達成しなければなりません。 [achieve_silver]

  • プロジェクトの管理・運営


    バッジには十分です!

    プロジェクトは2以上の "バス ファクタ"を持つ必要があります。 (URLが必要です) [bus_factor]

    The project has a governance structure in place with each key role filled in by at least two people. For more information see: https://documentation.gxf.lfenergy.org/opensourcecommunity/governance.html & https://wiki.lfenergy.org/display/HOME/GXF+Community+Council


    バッジには不十分です。

    プロジェクトには少なくとも2人の関係を持たない重要な貢献者がいなければなりません。 (URLが必要です) [contributors_unassociated]

    Currently there are several different projects that contribute to the GXF code base. These projects are:

    • FlexOVL (Alliander)
    • Smart Meter Head-End (Alliander)
    • Low Voltage Measurements (Alliander)
    • Cathodic Protection (Alliander) - in development

  • その他


    バッジには十分です!

    プロジェクトは、各ソースファイルにライセンスステートメントを含まなければなりません。これは、各ファイルの先頭近くに次のコメントを含めることによって行うことができます: SPDXライセンス識別子:[プロジェクトに対するSPDXライセンス表現] [license_per_file]

    License statement is added to all source code files and all other files as well.


  • 公開されたバージョン管理ソースリポジトリ


    バッジには十分です!

    プロジェクトのソースリポジトリは、共通の分散バージョン管理ソフトウェア(gitやmercurialなど)を使用しなければなりません。 [repo_distributed]

    Source code is available on github (https://github.com/OSGP)


    バッジには不十分です。

    プロジェクトは、新規または偶に参加する貢献者によって実行できる小さなタスクを明確に識別しなければなりません。 (URLが必要です) [small_tasks]

    Not public available, but part of our backlog on a closed Jira account.


    バッジには不十分です。

    プロジェクトは、中央リポジトリを変更したり、機密データ(プライベート脆弱性レポートなど)にアクセスするために、開発者に対して二要素認証(2FA)を要求する必要があります。推奨されませんが、2FAメカニズムは、SMSのような暗号化メカニズムを持たないメカニズムを使用することができます。 [require_2FA]

    2FA is required for all github repo users - Not yet effectuated


    かろうじてバッジには十分です。

    プロジェクトの2要素認証(2FA)は、偽装を防ぐために暗号化メカニズムを使用すべきです。ショート メッセージ サービス(SMS)ベースの2FA自体は、暗号化されていないため、この基準を満たしていません。 [secure_2FA]

    2FA is required for all github repo users - Not yet effectuated SMS is still available


  • コーディング標準


    バッジには十分です!

    プロジェクトは、コードレビューの実施方法、チェックする必要があるもの、受け入れられる必要があるものなど、コードレビュー要件を文書化しなければなりません。 (URLが必要です) [code_review_standards]

    The coding standards are part of our open source documentation, see https://grid-exchange-fabric.gitbook.io/gxf/opensourcecommunity/toolsguidelinesci


    バッジには十分です!

    プロジェクトは、公開する前に、提案されたすべての変更の少なくとも50%を著作者以外の人がレビューして、それが価値のある変更であり、取り込みに反対する既知の問題がないかどうかを判断しなければなりません。 [two_person_review]

    In our standard Way of Work all code is being reviewed by another developer than the one that created the code. four-eyes principle is always in place.


  • 作業ビルドシステム


    バッジには十分です!

    プロジェクトが再現可能なビルドを持たなければなりません。ビルドが発生しない場合(たとえば、コンパイルされないでソースコードが直接使用されるスクリプト言語)、「該当なし」(N/A)を選択します。 (URLが必要です) [build_reproducible]

    The build is available for Alliander employees only. The current continuous build environment (https://jenkins.fdp.osgp.cloud/view/Nightly%20Build/) is currently closed for the rest of the world. We are currently using Jenkins as our build environment, but we are moving to Github Packages and than it will become available to the rest of the community as well.


  • 自動テスト スイート


    バッジには十分です!

    テストスイートは、その言語の標準的な方法で呼び出すことができなければなりません。 (URLが必要です) [test_invocation]

    The test suit uses unit test to test the components and uses integration tests build with Cucumber to test end-to-end functionality as well. Build results are currently not publically available: https://jenkins.fdp.osgp.cloud/view/Nightly%20Build/


    バッジには十分です!

    プロジェクトは、新しいコードまたは変更されたコードが頻繁に中央コードリポジトリに統合され、その結果に対して自動化されたテストが実行される、継続的な統合を実装しなければなりません。 (URLが必要です) [test_continuous_integration]

    We have a CICD build environment: https://jenkins.fdp.osgp.cloud/view/Nightly%20Build/ and all source code is also checked by SonarCloud: https://sonarcloud.io/project/overview?id=OSGP_open-smart-grid-platform


    バッジには不十分です。

    プロジェクトは、選択された言語でこの基準を測定できる少なくとも1つのFLOSSツールがある場合、少なくとも80%のステートメント カバレッジを提供するFLOSS自動テストスイートを備えていなければなりません。 [test_statement_coverage90]

    Tool is available. No 90% coverage, but lower amount.


    バッジには不十分です。

    選択された言語でこの基準を測定できる少なくとも1つのFLOSSツールがあれば、少なくとも80%のブランチカバレッジを提供するFLOSS自動テストスイートがプロジェクトに存在しなければなりません。 [test_branch_coverage80]

    Tool is available. No 80% coverage, but lower amount.


  • 優良な暗号手法を使用する

    一部のソフトウェアは暗号化メカニズムを使用する必要がないことに注意してください。あなたのプロジェクトが作成するソフトウェアが、(1) 暗号化機能を含む、アクティブ化する、または有効化し、(2) 米国(US)から米国外または米国市民以外にリリースされる可能性がある場合は、法的に義務付けられた追加手順の実行を要求される可能性があります。通常、これにはメールの送信が含まれます。詳細については、 Understanding Open Source Technology & US Export Controls「オープンソース技術と米国の輸出管理について」)の暗号化のセクションを参照してください。

    バッジには十分です!

    プロジェクトで作成されたソフトウェアは、ネットワーク通信すべてに対して、SSHv2以降、TLS1.2以降 (HTTPS)、IPsec、SFTP、SNMPv3などのセキュア プロトコルをサポートしなければなりません。FTP、HTTP、telnet、SSLv3以前、SSHv1などのセキュアでないプロトコルは、デフォルトで無効にしておき、ユーザーが特別に設定した亜場合のみ有効にしなければなりません。プロジェクトによって作成されたソフトウェアがネットワーク通信をサポートしない場合は、「該当なし」(N/A)を選択します。 [crypto_used_network]

    The project uses TLS1.2 or later.


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアは、TLSをサポートあるいは使用する場合、少なくともTLSバージョン1.2をサポートしなければなりません。TLSの前身は、SSLと呼ばれていたことに注意して下さい。ソフトウェアがTLSを使用ない場合、「該当なし」(N/A)を選択します。 [crypto_tls12]

    The project uses TLS1.2 or later.


  • MITM(man-in-the-middle:中間者)攻撃に対応できる安全な配信


    バッジには十分です!

    プロジェクトウェブサイト、リポジトリ(ウェブからアクセス可能な場合)、およびダウンロードサイト(別々の場合)には、許容できない値を持つキー強化ヘッダーが含まれていなければなりません。 (URLが必要です) [hardened_site]

    All websites used by GXF are github (https://github.com/OSGP), gitbook (https://grid-exchange-fabric.gitbook.io/gxf/) en LF Energy (https://lfenergy.org/projects/gxf/). These websites seem to meet this requirement.


  • その他のセキュリティ上の課題


    バッジには十分です!

    プロジェクトは過去5年間にセキュリティレビューを実施していなければなりません。このレビューは、セキュリティ要件とセキュリティ境界を考慮しなければならりません。 [security_review]

    Around 5 years ago the GXF software has been auditted by the Software Improvement Group (SIG) and currently Alliander is implementing the toolset of SIG in our CI/CD environment to execute the SIG tooling on a structural way.


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアで強化メカニズムを使用しなければならないので、ソフトウェア欠陥がセキュリティ上の脆弱性を引き起こす可能性が低くなります。 (URLが必要です) [hardening]

    Vulnerability checks are part of the build process to validate vulnerabilities in used libraries. Code is being validated by SonarCloud. The used container images are also validated for all kinds of vulnerabilities. As we don't deploy VM's


  • 動的コード分析


    バッジには不十分です。

    プロジェクトは、リリース前にプロジェクトによって作成されたソフトウェアの主要な製品リリースに対して、少なくとも1つの動的解析ツールを適用しなければなりません。 [dynamic_analysis]

    Dynamic code analysis is not implemented.


    かろうじてバッジには十分です。

    プロジェクトは、生成するソフトウェアに多くの実行時アサーションを含めるべきであり、動的分析中にそれらのアサーションをチェックするべきです。 [dynamic_analysis_enable_assertions]

    Dynamic code analysis is not implemented.



このデータは、Creative Commons Attribution version 3.0以降のライセンス(CC-BY-3.0 +)のもとで利用できます。すべての人がデータを自由に共有および適応できますが、適切にクレジットを入れる必要があります。 Jonas van den BogaardとOpenSSFベストプラクティス バッジ貢献者のクレジットを入れてください。

プロジェクト バッジ登録の所有者: Jonas van den Bogaard.
エントリの作成日時 2020-06-29 15:28:15 UTC、 最終更新日 2023-09-29 14:20:48 UTC 最後に2020-12-16 15:39:31 UTCにバッジ合格を達成しました。

もどる