Flux

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

これがあなたのプロジェクトなら、あなたのプロジェクトページにあなたのバッジステータスを表示してください!バッジステータスは次のようになります。 プロジェクト 4782 のバッジ レベルは silver です バッジステータスの埋め込み方法は次のとおりです。

これらはゴールドレベルの基準です。合格またはシルバーレベル基準を表示することもできます。

        

 基本的情報 4/5

  • 識別情報

    Open and extensible continuous delivery solution for Kubernetes. Powered by GitOps Toolkit.

  • 前提要件


    バッジには十分です!

    プロジェクトは、シルバー レベル バッジを達成しなければなりません。 [achieve_silver]

  • プロジェクトの管理・運営


    バッジには十分です!

    プロジェクトは2以上の "バス ファクタ"を持つ必要があります。 (URLが必要です) [bus_factor]

    https://github.com/fluxcd/community/blob/main/CORE-MAINTAINERS


    必須情報が不明、バッジに十分ではありません。

    プロジェクトには少なくとも2人の関係を持たない重要な貢献者がいなければなりません。 (URLが必要です) [contributors_unassociated]

  • その他


    バッジには十分です!

    プロジェクトは、各ソースファイルにライセンスステートメントを含まなければなりません。これは、各ファイルの先頭近くに次のコメントを含めることによって行うことができます: SPDXライセンス識別子:[プロジェクトに対するSPDXライセンス表現] [license_per_file]

    All Flux source code files contain the license statement, e.g. https://github.com/fluxcd/flux2/blob/main/cmd/flux/main.go


  • 公開されたバージョン管理ソースリポジトリ


    バッジには十分です!

    プロジェクトのソースリポジトリは、共通の分散バージョン管理ソフトウェア(gitやmercurialなど)を使用しなければなりません。 [repo_distributed]

    Repository on GitHub, which uses git. git is distributed.


    バッジには十分です!

    プロジェクトは、新規または偶に参加する貢献者によって実行できる小さなタスクを明確に識別しなければなりません。 (URLが必要です) [small_tasks]

    We label issues for casual contributors using the "good first issue" label https://github.com/fluxcd/flux2/labels/good%20first%20issue


    バッジには十分です!

    プロジェクトは、中央リポジトリを変更したり、機密データ(プライベート脆弱性レポートなど)にアクセスするために、開発者に対して二要素認証(2FA)を要求する必要があります。推奨されませんが、2FAメカニズムは、SMSのような暗号化メカニズムを持たないメカニズムを使用することができます。 [require_2FA]

    The FluxCD GitHub organisation has 2FA enforced for all members.


    バッジには十分です!

    プロジェクトの2要素認証(2FA)は、偽装を防ぐために暗号化メカニズムを使用すべきです。ショート メッセージ サービス(SMS)ベースの2FA自体は、暗号化されていないため、この基準を満たしていません。 [secure_2FA]

    The FluxCD GitHub organisation members have 2FA enabled using either hardware keys or Google Authenticator App, SMS is not used.


  • コーディング標準


    バッジには十分です!

    プロジェクトは、コードレビューの実施方法、チェックする必要があるもの、受け入れられる必要があるものなど、コードレビュー要件を文書化しなければなりません。 (URLが必要です) [code_review_standards]

    The code review requirements are documented here https://github.com/fluxcd/flux2/blob/main/CONTRIBUTING.md#acceptance-policy


    バッジには十分です!

    プロジェクトは、公開する前に、提案されたすべての変更の少なくとも50%を著作者以外の人がレビューして、それが価値のある変更であり、取り込みに反対する既知の問題がないかどうかを判断しなければなりません。 [two_person_review]

    All proposed modifications in Flux must be reviewed and approved by a person other than the author. In case of an RFC at least two maintainers must approve the change. https://github.com/fluxcd/flux2/blob/main/rfcs/README.md


  • 作業ビルドシステム


    必須情報が不明、バッジに十分ではありません。

    プロジェクトが再現可能なビルドを持たなければなりません。ビルドが発生しない場合(たとえば、コンパイルされないでソースコードが直接使用されるスクリプト言語)、「該当なし」(N/A)を選択します。 (URLが必要です) [build_reproducible]

  • 自動テスト スイート


    バッジには十分です!

    テストスイートは、その言語の標準的な方法で呼び出すことができなければなりません。 (URLが必要です) [test_invocation]

    https://github.com/fluxcd/flux2/blob/main/CONTRIBUTING.md#how-to-run-the-test-suite


    バッジには十分です!

    プロジェクトは、新しいコードまたは変更されたコードが頻繁に中央コードリポジトリに統合され、その結果に対して自動化されたテストが実行される、継続的な統合を実装しなければなりません。 (URLが必要です) [test_continuous_integration]

    https://github.com/fluxcd/flux2/tree/main/.github/workflows


    必須情報が不明、バッジに十分ではありません。

    プロジェクトは、選択された言語でこの基準を測定できる少なくとも1つのFLOSSツールがある場合、少なくとも80%のステートメント カバレッジを提供するFLOSS自動テストスイートを備えていなければなりません。 [test_statement_coverage90]

    必須情報が不明、バッジに十分ではありません。

    選択された言語でこの基準を測定できる少なくとも1つのFLOSSツールがあれば、少なくとも80%のブランチカバレッジを提供するFLOSS自動テストスイートがプロジェクトに存在しなければなりません。 [test_branch_coverage80]

  • 優良な暗号手法を使用する

    一部のソフトウェアは暗号化メカニズムを使用する必要がないことに注意してください。あなたのプロジェクトが作成するソフトウェアが、(1) 暗号化機能を含む、アクティブ化する、または有効化し、(2) 米国(US)から米国外または米国市民以外にリリースされる可能性がある場合は、法的に義務付けられた追加手順の実行を要求される可能性があります。通常、これにはメールの送信が含まれます。詳細については、 Understanding Open Source Technology & US Export Controls「オープンソース技術と米国の輸出管理について」)の暗号化のセクションを参照してください。

    バッジには十分です!

    プロジェクトで作成されたソフトウェアは、ネットワーク通信すべてに対して、SSHv2以降、TLS1.2以降 (HTTPS)、IPsec、SFTP、SNMPv3などのセキュア プロトコルをサポートしなければなりません。FTP、HTTP、telnet、SSLv3以前、SSHv1などのセキュアでないプロトコルは、デフォルトで無効にしておき、ユーザーが特別に設定した亜場合のみ有効にしなければなりません。プロジェクトによって作成されたソフトウェアがネットワーク通信をサポートしない場合は、「該当なし」(N/A)を選択します。 [crypto_used_network]

    Flux supports all secure protocols to communicate with remote Git repositories (HTTPS and SSH) and container registries.


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアは、TLSをサポートあるいは使用する場合、少なくともTLSバージョン1.2をサポートしなければなりません。TLSの前身は、SSLと呼ばれていたことに注意して下さい。ソフトウェアがTLSを使用ない場合、「該当なし」(N/A)を選択します。 [crypto_tls12]

    TLS 1.2 and 1.3 are both supported by way of Go's crypto/tls library.


  • MITM(man-in-the-middle:中間者)攻撃に対応できる安全な配信


    バッジには不十分です。

    プロジェクトウェブサイト、リポジトリ(ウェブからアクセス可能な場合)、およびダウンロードサイト(別々の場合)には、許容できない値を持つキー強化ヘッダーが含まれていなければなりません。 (URLが必要です) [hardened_site]

    The flucd.io website is static and hosted by netlify, all code repos are hosted on GitHub. // X-Content-Type-Options was not set to "nosniff".


  • その他のセキュリティ上の課題


    バッジには十分です!

    プロジェクトは過去5年間にセキュリティレビューを実施していなければなりません。このレビューは、セキュリティ要件とセキュリティ境界を考慮しなければならりません。 [security_review]

    Security audits: https://fluxcd.io/blog/2023/11/flux-security-audit/ https://fluxcd.io/blog/2021/11/flux-security-audit/


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアで強化メカニズムを使用しなければならないので、ソフトウェア欠陥がセキュリティ上の脆弱性を引き起こす可能性が低くなります。 (URLが必要です) [hardening]

    All Flux components are compiled with Go. To protect against defects we run all tests with race detection. Flux is part of Google's oss fuzz program which provides continuous fuzzing https://github.com/google/oss-fuzz/blob/master/projects/fluxcd/project.yaml


  • 動的コード分析


    バッジには十分です!

    プロジェクトは、リリース前にプロジェクトによって作成されたソフトウェアの主要な製品リリースに対して、少なくとも1つの動的解析ツールを適用しなければなりません。 [dynamic_analysis]

    https://github.com/fluxcd/flux2/blob/main/.github/workflows/scan.yaml


    バッジには十分です!

    プロジェクトは、生成するソフトウェアに多くの実行時アサーションを含めるべきであり、動的分析中にそれらのアサーションをチェックするべきです。 [dynamic_analysis_enable_assertions]

    CodeLQ performs this task https://github.com/fluxcd/flux2/blob/main/.github/workflows/scan.yaml



このデータは、Creative Commons Attribution version 3.0以降のライセンス(CC-BY-3.0 +)のもとで利用できます。すべての人がデータを自由に共有および適応できますが、適切にクレジットを入れる必要があります。 Daniel HolbachとOpenSSFベストプラクティス バッジ貢献者のクレジットを入れてください。

プロジェクト バッジ登録の所有者: Daniel Holbach.
エントリの作成日時 2021-04-07 10:33:49 UTC、 最終更新日 2024-05-09 09:42:44 UTC 最後に2021-04-07 11:07:59 UTCにバッジ合格を達成しました。

もどる