Automation-repetitive-task-software

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

ソフトウェアに欠陥や脆弱性がないことを保証する手立てはありません。形式論的な証明ができたとしても、仕様や前提が間違っていると誤動作の可能性があります。また、プロジェクトが健全で、かつ機能的な開発コミュニティであり続けることを保証する手立てもありません。しかし、ベストプラクティスの採用は、プロジェクトの成果の向上に寄与する可能性があります。たとえば、いくつものベストプラクティスがリリース前の複数人によるレビューを定めていますが、それによりレビュー以外では発見困難な技術的脆弱性を見つけるのを助け、同時に異なる企業の開発者間の信頼を築き、さらに交流を続けることに対する意欲を生んでいます。バッジを獲得するには、すべてのMUSTおよびMUST NOT基準を満たさなければなりません。すべてのSHOULD基準も満たさなければなりませんが、正当な理由がある場合は満たさなくても構いません。そしてすべてのSUGGESTED基準も満たさなければなりませんが、満たさないとしても、少なくとも考慮することが望まれます。フィードバックは、 GitHubサイトのissueまたはpull requestとして提示されれば歓迎します。また、議論のためのメールリストも用意されています。

私たちは多言語で情報を提供していますが、翻訳版に矛盾や意味の不一致がある場合は、英語版を正式な記述とします。
これがあなたのプロジェクトなら、あなたのプロジェクトページにあなたのバッジステータスを表示してください!バッジステータスは次のようになります。 プロジェクト 8239 のバッジ レベルは gold です バッジステータスの埋め込み方法は次のとおりです。
バッジステータスを表示するには、あなたのプロジェクトのマークダウンファイルに以下を埋め込みます
[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/8239/badge)](https://www.bestpractices.dev/projects/8239)
あるいは、以下をHTMLに埋め込みます
<a href="https://www.bestpractices.dev/projects/8239"><img src="https://www.bestpractices.dev/projects/8239/badge"></a>


これらはシルバーレベルの基準です。合格またはゴールドレベル基準を表示することもできます。

        

 基本的情報 17/17

  • 識別情報

    他のプロジェクトが同じ名前を使用していないか注意してください。

    Tremendous automation repetitive task Sofware with the motive of contributing to what makes your day to day activities much easier and accessible for you at your work place.

  • 前提要件


    プロジェクトは合格レベルバッジに達成しなければなりません。 [achieve_passing]

  • 基本的なプロジェクト ウェブサイトのコンテンツ


    貢献する方法に関する情報には、受け入れ可能な貢献の要件(例えば、必要なコーディング標準への言及)が含まれなければなりません。 (URLが必要です) [contribution_requirements]

    Firstly, I was able to solve the problem on the changing default personal email address and that's how I was able to link to my stack workplace for my organization for easy assistance on how I fix all the issues and work with daily emails on that too. Most importantly. I initiated a public template which will make it easier and more comfortable to use and even if the user doesn't understand how the software was build. with the public template on my repository, it's 100% ready to be used positively! Although, specific users or contributors, Members, billing managers, and outside collaborators who do not have two-factor authentication enabled for their personal account will be removed from my organization and will receive an email notifying them about the change. I made a reference on this on this link: https://github.com/KIDI-S-TECH/Automation-repetitive-task-software


  • プロジェクトの管理・運営


    プロジェクトは、プロジェクト ソフトウェアのそれなりの量を開発しているすべての開発者が、これらの貢献を行うことが法的に認められていると主張すりょうな法的な仕組みを持っていなければなりません。これを行うための最も一般的で簡単に実装されたアプローチは、開発者証明書(DCO)を使用することです。ユーザーは、 DCOのウェブサイトへのプロジェクトのリンクが表示されます。ただし、これはコントリビュータ ライセンス契約(CLA)またはその他の法的な仕組みとして実装することができます。 (URLが必要です) [dco]
    DCOは、実装が容易で、ソースコードで追跡され、gitが "commit -s"を使用して "サインオフ"機能を直接サポートするため、推奨されるメカニズムです。最も効果的であるためには、プロジェクト文書が、そのプロジェクトに対して「サインオフ」とは何を意味するのかを説明するのが最善です。 CLAは、知的著作物が組織またはプロジェクトにライセンスされている条件を定義する法的合意です。コントリビュータ アサイン アグリーメント(CAA)は、知的著作物の権利を他の当事者に移転する法的合意です。プロジェクトはCAAを必ずしも持つ必要はありません。なぜなら、CAAは、特に受領者が営利目的の組織である場合には、潜在的な貢献者が貢献しないリスクを高めます。 Apache Software Foundation CLA(個々のコントリビュータ ライセンスと法人CLA)は、この種のCLAのリスクを判断するプロジェクトにとって、リスクが便益よりも小さいのCLAの例です。

    That’s a very great question, my project met this criteria in two different ways, firstly, the signed off features that I implemented on my project which will display the signed off feature of any developer or contributor after making a contribution on my project. The url where you’ll see examples of my signed off features using commit on GitHub. URL: https://github.com/KIDI-S-TECH/Automation-repetitive-task-software/pull/1 The url below shows the commit that I made on a pull request that I successfully merged on my project. Secondly, I used the zenodo company to get my DOI which identified as a digital Object identification. That been said, The CAA agreement is on the website which developers, contributors and companies can go through to understand the terms and conditions of the project. URL: https://zenodo.org/records/10829824



    プロジェクトは、プロジェクト ガバナンス モデル(主要な役割を含む意思決定方法)を明確に定義し、文書化しなければなりません。 (URLが必要です) [governance]
    決定を下し、論争を解決するための十分に確立された文書化された方法が必要です。小規模なプロジェクトでは、これは「プロジェクトオーナーとリーダーがすべての最終決定を下す」という単純なものです。慈愛の強い独裁者や正式な能力主義を含む様々な統治モデルが存在します。詳細については、統治モデルを参照してください。集中化された(例えば、単一メインテナー)および分散された(例えば、グループ メインテナー)アプローチの両方が、プロジェクトにおいて成功のうちに使用されています。統治情報は、プロジェクトフォークを作成する可能性について文書化する必要はありません。なぜなら、これはFLOSSプロジェクトでは常に可能であるからです。

    That’s a very good question, I made a software documentation on my project which clearly define and document its project governance model. URL below: https://github.com/KidiIT/.vscode#softwareproject-documentation



    プロジェクトは、行動規範を採択し、標準的な場所に掲示しなければなりません。 (URLが必要です) [code_of_conduct]
    プロジェクトは、地域社会の礼儀正しさを向上させることと、行動規範を採択することで受け入れられる行動についての期待を設定すること、ができるかもしれません。これにより、問題が発生する前に問題を回避し、プロジェクトをより貢献を促す場所にすることができます。これは、プロジェクトのコミュニティ内や職場内の行動にのみ焦点を当てるべきです。行動規範の例としては、以下のようなものがあります。Linuxカーネル行動規範コントリビューター規約行動規範Debian行動規範Ubuntu行動規範Fedora行動規範GNOME行動規範KDEコミュニティ行動規範Pythonコミュニティ行動規範Rubyコミュニティ行動指針、およびRust 行動規範

    Well, I followed the community standards to add a distinct code of conduct of my project and it was posted in a standard location. Please view the url below to confirm. URL: https://github.com/KIDI-S-TECH/Automation-repetitive-task-software?tab=coc-ov-file#



    プロジェクトは、プロジェクトでの重要な役割と役割が実行しなければならないタスクを含む責任を明確に定義し、公的に文書化しなければなりません。誰がどの役割を持っているかは明確でなければなりませんが、これは同じ方法で文書化されていない可能性があります。 (URLが必要です) [roles_responsibilities]
    統治と役割と責任に関する文章は1か所にあるのが良いでしょう。

    My project clearly define and publicly document the key roles in the project and their responsibilities. This aspect of this classification can be seen on my project documentation where all key roles and responsibilities was identified on my project. To tell users the right people to make use of my software and right business sector that it’ll perform better when used properly. URL: https://github.com/KidiIT/Automation-repetitive-task-software#



    いずれかの人が仕事を継続できなくなるまたは死亡した場合、プロジェクトは最小限の中断で継続することができなければなりません。特に、プロジェクトは、課題の作成と終了、提案された変更の受け入れ、およびバージョンのソフトウェアのリリース、1週間内に個人が仕事を継続できくなったことまたは死亡したことの確認、行うことができなければならない。これは、他の誰かがプロジェクトを継続するのに必要な鍵、パスワード、法的権利を持っていることを保証することによって行うことができます。 FLOSSプロジェクトを実行する個人は、ロックボックスにキーを提供し、必要な法的権利を提供する意志(例えば、DNS名のために)を提供することによって、これを行うことができます。 (URLが必要です) [access_continuity]

    My project met this requirements because it has the potential and ability to create and close issues, accept proposed changes and release versions of the software. Contributors can propose changes by opening a pull requests on the project url. If it’s accepted then any requests that met the changes will be amended immediately. As an individual who runs a FLOSS project under MIT license and users can see how this tremendous project perform such task can be seen on the URL below. Legal rights URL: https://github.com/KidiIT/Automation-repetitive-task-software/blob/main/LICENSE



    プロジェクトは2以上の "バス ファクタ"を持っているべきです。 (URLが必要です) [bus_factor]
    「バス ファクタ」(別名「トラック ファクタ」)は、知見があり有能な人材が離脱して、プロジェクトが停止に至る時に、プロジェクトから突然消失する(「バスに当たった」)プロジェクトメンバーの最小人数です。 トラック ファクタツールは、GitHub上のプロジェクトに対してこれを見積もることができます。詳細については、Cosentino et al。の Gitリポジトリのバス ファクタの評価を参照してください。

    Thank you for the opportunity to share the details about my work. However, I was able to acquire the Digital object identification badge through zenodo which makes all my research contributions and recognition attributed to me. The DOI provides a comprehensive bus factor where Bus factor was linked to my GitHub account through the zenodo website. URL: https://zenodo.org/records/10829824


  • ドキュメンテーション


    プロジェクトは、少なくとも翌年に、プロジェクトが何をしたいか、やるつもりはないかを記述した文書化されたロードマップを持っていなければなりません。 (URLが必要です) [documentation_roadmap]
    このプロジェクトはロードマップを達成できないかもしれません。それは問題ありません。ロードマップの目的は、潜在的なユーザーや貢献者がプロジェクトの意図された方向を理解するのを助けることです。詳細にする必要はありません。

    The document was written on my README.md and other standard location for collaborators URL: https://github.com/KIDI-S-TECH/Automation-repetitive-task-software#



    プロジェクトは、プロジェクトによって作成されたソフトウェアのアーキテクチャー(いわゆる高水準設計)の文書を含まなければなりません。プロジェクトでソフトウェアが作成されない場合は、「該当なし」(N/A)を選択します。 (URLが必要です) [documentation_architecture]
    ソフトウェア アーキテクチャは、プログラムの基本的な構造、すなわちプログラムの主な構成要素、それらの間の関係、およびこれらの構成要素および関係の主要な特性を説明します。

    The documentation of the architecture which explains how the project produced high level design can we seen on the project README.md when the design documentation was published and released. URL; https://github.com/KidiIT/Automation-repetitive-task-software#



    プロジェクトは、ユーザーが、プロジェクトによって作成されたソフトウェアからセキュリティの観点から期待できるものと期待できないものを文書化しなければなりません。(セキュリティ要件) (URLが必要です) [documentation_security]
    これらは、ソフトウェアが満たすことが意図されているセキュリティ要件です。

    The security policy.md clearly define how users can and can’t expect in terms of security from the software produced by the project. URL: https://github.com/KidiIT/Automation-repetitive-task-software/blob/main/SECURITY.md



    プロジェクトでは、新規ユーザーがソフトウェアで何かをすばやく実行できるようにするための「クイックスタート」ガイドを提供する必要があります。 (URLが必要です) [documentation_quick_start]
    このアイデアは、ユーザーにソフトウェアを始動させる方法と何かをさせる方法を示すことです。これは潜在的なユーザーが開始するために非常に重要です。

    100% the software/ project provides a quick start guide for new users to help them quickly contribute or use my code. New users can go through the CONTRIBUTING.md file and Code of Conduct on the project Home Page. Also understanding how the project was build from the start will enable new users to understand In comprehensive and efficient in other to use the best of the software. Furthermore, New users can go through the security policy file to know the current status of the project in other to know which version the software supports and understand more how they can file a report on any vulnerability being exploited by users. URL: https://github.com/KidiIT/Automation-repetitive-task-software/blob/main/CONTRIBUTING.md URL: https://github.com/KidiIT/Automation-repetitive-task-software?tab=coc-ov-file#



    プロジェクトは、現行バージョンのプロジェクト結果(プロジェクトによって作成されたソフトウェアを含む)とドキュメントの整合性を保つために努力しなければならない。 不一致を招く既知のドキュメントの欠陥は、修正しなければなりません。ドキュメントが一般的に最新のものですが、古い情報が誤って含まれて、もはや正しくない場合は、それを欠陥として扱い、通常どおりに追跡して修正してください。 [documentation_current]
    ドキュメントには、ソフトウェアのバージョン間の相違点や変更点、および/またはドキュメントの古いバージョンへのリンクに関する情報が含まれていてもよいです。この基準の意図は、ドキュメントが完璧である必要があることではなく、ドキュメントの一貫性を保つための努力がなされていることです。

    the CodeQL tool which I installed on my project helps to keep the documentation with the current version of the project updated on a daily basis. It checks for faults and fixes any errors that might be found on the project. Also it regularly tracks and fix errors as usual. The url below explains how the CodeQL file was installed on the software to actively monitoring and updating of the software. URL: https://github.com/KidiIT/Automation-repetitive-task-software/blob/main/.github/CodeQL.yml



    プロジェクトのリポジトリのフロントページおよび/またはウェブサイトは、このベストプラクティスのバッジを含め、成果が達成されたことを一般に認められてから48時間以内に特定し、ハイパーリンクする必要があります。 (URLが必要です) [documentation_achievements]
    達成とは、いくつかのバッジを含めて、プロジェクトが具体的に満たしている外部基準のセットです。この情報は、プロジェクトのウェブサイトのフロントページにある必要はありません。 GitHubを使用するプロジェクトは、READMEファイルに追加することで、リポジトリのフロントページに成果を置くことができます。

    In the best of my knowledge, I’ve attached the achievement made by the project on the project’s repository and website. Currently, my project has achieved The OpenSSF best practices badge (passing level) and a DOI badge. URL: https://github.com/KIDI-S-TECH/Automation-repetitive-task-software#automation-repetitive-task-software


  • アクセシビリティと国際化


    プロジェクト(プロジェクト サイトとプロジェクト結果の両方)は、アクセシビリティのベストプラクティスに従い、障害のある人が引き続きプロジェクトに参加し、プロジェクトの結果を合理的な範囲で使用することができるようにするべきです。 [accessibility_best_practices]
    ウェブアプリケーションについては、ウェブ コンテンツ アクセシビリティ ガイドライン(WCAG 2.0)とそのサポート ドキュメント WCAG 2.0の理解; W3Cアクセシビリティ情報を参照してください。 GUIアプリケーションの場合は、環境固有のアクセシビリティ ガイドラインの使用を検討して下さい(GnomeKDEXFCE Android bility/ios/" > iOS Mac Windows )。いくつかのTUIアプリケーション(例えば、「ncurses」プログラム)は、「alpine」の 「force-arrow-cursor」設定のような、よりアクセスしやすくするためにいくつかのことを行うことができます。ほとんどのコマンドライン アプリケーションは、そのままの状態でかなりアクセス可能です。この基準は、例えば、プログラム ライブラリの場合、「該当なし」(N/A)であることが多いです。取り上げるべき行動や考慮すべき課題の例を以下に示します。
    • テキスト以外のコンテンツの代替テキストを提供するkotode, 人々が必要とする他の形式に変更することができます。大きな印刷物、点字、スピーチ、記号またはより単純な言語などです。( WCAG 2.0ガイドライン1.1
    • アクションを示したり、応答を促したり、または視覚的要素を区別するために、色が唯一の視覚的な伝達手段として使用されるわけではありません。( WCAG 2.0ガイドライン1.4.1
    • 大文字、付随的なテキストとロゴタイプを除いて、テキストの視覚的提示とテキストのイメージには、少なくとも4.5:1の比率のコントラストがあります( WCAG 2.0ガイドライン1.4.3
    • キーボードからすべての機能を利用できるようにする(WCAGガイドライン2.1)
    • GUIまたはウェブ ベースのプロジェクトは少なくとも1つターゲットプラットフォーム上のスクリーンリーダーでテストするべきです(例えば、NVDA、Jaws、またはWindows上のWindowEyes; MacとiOSのVoiceOver Linux / BSDのOrca;AndroidのTalkBack)。 TUIプログラムは、スクリーンリーダーによる冗長な読み取りを防止するために、オーバードローを減らせるかもしれません。

    The aspect of this validation isn’t assessable in my project. Because my software isn’t a web application rather a software development tool which can be easily integrated into any application and it performs a monetary automation tasks in any business sector as specified on my project documentation. On the other hand, the project Accessibility and internationalization can be seen by my end-users in other to download and make use of the software @Zenodo website where I acquired a Digital object identification for my project which has a Creative Commons Attribution 4.0 International Right of Access for the Public to use in a digital device and a Right to Access for all users which is recognized internationally according to the International Copyright.

    URL: https://zenodo.org/records/10829824



    プロジェクトによって作成されたソフトウェアは、ターゲット オーディエンスの文化、地域、または言語へのローカリゼーションを容易にするために国際化されるべきです。国際化(i18n)が適用されない場合(たとえば、ソフトウェアがエンドユーザー向けのテキストを生成せず、人間が読めるテキストを扱わない場合)、「該当なし」(N/A)を選択します。 [internationalization]
    ローカリゼーションとは、「特定のターゲット市場(ロケール)の言語、文化、およびその他の要件を満たす、製品、アプリケーションまたはドキュメントのコンテンツの適合を指します」。国際化とは、「文化、地域、言語によって異なるターゲットオーディエンスに対してローカライズを容易にする製品、アプリケーション、またはドキュメントコンテンツの設計と開発」のことです。 ( W3Cの「ローカリゼーションと国際化」を参照してください。)ソフトウェアは国際化されるだけでこの基準を満たします。いったんソフトウェアが国際化されると、他の人がローカライゼーションに取り組むことができるので、別の特定の言語のローカリゼーションは必要ありません。

    The project possesses the Creative Commons Attribution 4.0 International Right. Which makes it internationally recognized that explains how recognition of the software by end-users. the work will be attributed to the real owner of the project according to the international standards right that govern the software.

    URL: https://zenodo.org/records/10829824


  • その他


    プロジェクト サイト(ウェブサイト、リポジトリ、およびダウンロードURL)が外部ユーザーの認証用のパスワードを格納する場合、パスワードは、キーストレッチ(反復)アルゴリズム(PBKDF2、Bcrypt、Scrypt、PBKDF2など)を使用してユーザーごとのソルトで反復ハッシュとして保存する必要があります。プロジェクトサイトがこの目的のためにパスワードを保存しない場合は、「該当なし」(N/A)を選択します。 [sites_password_security]
    GitHub の使用はこの基準を満たしていることに注意してください。この基準は、プロジェクト サイトへの外部ユーザーの認証に使用されるパスワードにのみ適用されます(別名インバウンド認証)。プロジェクト サイトが他のサイトにログインしなければならない場合(別名:アウトバウンド認証)、その目的のために別の方法で認証トークンを保存する必要があるかもしれません(ハッシュを保存しても意味がないため)。これは、crypto_password_storage の基準を sites_httpsと同様にプロジェクトサイトに適用します。

    To begin with, the project was built, designed and deployed on GitHub. The whole process was done using the GitHub interface. The ability of the website to have a form validation interface situated on the web site makes it possible for the project to store passwords for authentication of external users, the passwords can be stored or exported in a Bcrypt form. Making it more convenient and secure process. With HTTPS domain name protocol


 変更管理 1/1

  • 以前のバージョン


    プロジェクトは、最も頻繁に使用される古いバージョンの製品を維持するか、または新しいバージョンへのアップ グレードを提供しなければなりません。アップ グレード方法が困難な場合は、プロジェクトは、アップグレード方法(変更されたインターフェイスや、アップグレードに役立つ詳細な手順など)を記載しなければなりません。 [maintenance_or_update]

    My project is currently using v2 and can be seen on the URL below that shows the lifecycle of my software development version. URL: https://github.com/KIDI-S-TECH/Automation-repetitive-task-software/tree/v2.3.4


 報告 3/3

  • バグ報告プロセス


    プロジェクトは、個々の課題を追跡するための課題トラッカーを使用する必要があります。 [report_tracker]

    with the help of the bot on stack. it helps me on tracking issues detected on my organization and project. also, I gave some of organization members role to open an issue pull request which will actually trigger or detect an alert on my stack workplace for easy and fast responses. the link below will explain more. https://join.slack.com/share/enQtNjQwNTkxMzU2NDYwOS0zZmViMWFhYmQ2OTAzMjgzYzhkZTBjNTM1MjYzNTQ2N2Y2ZGUwNzUyZjYwNzBlNzYwMGIwMTVlOTc3YTJhNDhl


  • 脆弱性報告プロセス


    プロジェクトは、匿名の報告者を除いて、過去12ヶ月間に解決されたすべての脆弱性の報告者に信用していることを伝えなければなりません。過去12ヶ月間に解決された脆弱性がない場合は、「該当なし」(N / A)を選択します。 (URLが必要です) [vulnerability_report_credit]

    Actually a vulnerability was detected on my project late last year (December to be precise). However, The CodeQl which is an automated scanning tool that I used for my project on GitHub detected that a bug is spotting some customers from accessing the dashboard on my vercel network. The bug was tackled immediately and it was resolved. It was caused by myself because I left some code that might give threat actors access to users information. For instance, logging out user information. To God may have it, the vulnerability was resolved immediately and users were able to access the project dashboard. Users can report vulnerabilities on my project by opening an issue on GitHub or use the vulnerability reporting file or link on the project to report any vulnerabilities or bugs being detected on the project.

    URL: https://github.com/KIDI-S-TECH/Automation-repetitive-task-software?tab=security-ov-file#reporting-a-vulnerability



    プロジェクトには、脆弱性レポートに対応するための文書化されたプロセスがなければなりません。 (URLが必要です) [vulnerability_response_process]
    これはvulnerability_report_processに強く関連しており、脆弱性を報告するための文書化された方法が必要です。これは、特定の時間枠内の脆弱性レポートへの応答を必要とする、vulnerability_report_responseにも関連しています。

    A report vulnerability template is being attached on my project. For vulnerabilities reporting and response on the project website at GitHub. Which will help users to understand the kind of vulnerabilities the project is currently experiencing and how it was solved after a successful implementation process to mitigate the vulnerability. URL: https://github.com/KIDI-S-TECH/Automation-repetitive-task-software?tab=security-ov-file#security-policy


 品質 19/19

  • コーディング標準


    プロジェクトは、使用する主要な言語のための特定のコーディング スタイル ガイドを指定しなければなりませんし、貢献が一般にそれに準拠することを要求しなければなりません。 (URLが必要です) [coding_standards]
    ほとんどの場合、これはいくつかの既存のスタイル ガイドを参照し、おそらく差異をリストすることによって行われます。これらのスタイル ガイドには、可読性を向上させる方法や、欠陥(脆弱性を含む)の可能性を減らす方法が含まれています。多くのプログラミング言語には、広く使用されているスタイル ガイドが1つ以上あります。スタイルガイドの例には、 Googleスタイル ガイド SEI CERTコーディング標準を参照してください。

    Yes this aspect was on my project. The CONTRIBUTING.md file on the website provides users with essential information on the primary language the project was developed on and guild on how contributors can contribute to the project.

    URL: https://github.com/KIDI-S-TECH/Automation-repetitive-task-software/blob/main/CONTRIBUTING.md



    選択した言語において行うことができるFLOSSツールが少なくとも1つあれば、プロジェクトは自動的に選択したコーディングスタイルを適用しなければなりません。 [coding_standards_enforced]
    これは、静的解析ツールを使用して、および/またはコード再フォーマットを介してコードを強制することによって実装することができます。多くの場合、ツールの設定は、プロジェクトのリポジトリに含まれます(プロジェクトによって異なる設定が選択される可能性があるため)。プロジェクトはスタイルの例外を許可するかもしれません(通常はそうなります)。例外が発生した場合は、それらの場所のコードでまれで、文書化されていなければなりませんので、それらの例外が再検討され、ツールが将来自動的にそれらを処理できるようにできます。このようなツールの例には、ESLint(JavaScript)、Rubocop(Ruby)、および devtools check (R)があります。

    An npm package file was directly installed in the project or repository which enables and helps in detecting which coding styles was used on the project. The npm package is specifically designed for JavaScript codes and applications


  • 作業ビルドシステム


    ネイティブ バイナリのビルドシステムは、それらに渡される関連するコンパイラおよびリンカ(環境)変数(CC、CFLAGS、CXX、CXXFLAGS、LDFLAGSなど)を受け入れ、コンパイラおよびリンカ呼び出しに渡す必要があります。ビルド システムは追加のフラグでそれらを拡張するかもしれません。提供された値を単にそれ自身のものに置き換えてはいけません。ネイティブバイナリが生成されていない場合は、「該当なし」(N/A)を選択します。 [build_standard_variables]
    Address Sanitizer(ASAN)などの特別なビルド機能を有効にしたり、ディストリビューション強化のベストプラクティスに準拠したりするのは簡単です(コンパイラフラグを簡単にオンにするなどして)。

    This is not applicable on my project because my project does not provide any Native binaries as was mentioned above.



    ビルドとインストール システムは、関連するフラグ(例えば、 "install -s"が使用されていない)で要求されたデバッグ情報を保存しておくべきです。ビルドやインストール システムがない場合(例:一般的なJavaScriptライブラリ)は、「該当なし」(N/A)を選択します。 [build_preserve_debug]
    すなわち、CFLAGS(C)またはCXXFLAGS(C ++)を設定すると、それらの言語が使用されている場合に、関連デバッグ情報が作成されるべきですし、インストール時には削除するべきではありません。デバッグ情報は、サポートと分析のために必要であり、コンパイルされたバイナリのハードニング機能の存在を測定するのにも役立ちます。

    The build and installation system on my project preserve debugging information typical JavaScript libraries. The URL below explains more on how this was met

    URL: https://github.com/KidiIT/Automation-repetitive-task-software/actions/runs/8368752324



    プロジェクトによって作成されたソフトウェアのビルド システムは、サブディレクトリに相互依存関係がある場合、再帰的にサブディレクトリをビルドしてはなりません。ビルドやインストール システムがない場合(例:一般的なJavaScriptライブラリ)は、「該当なし」(N/A)を選択します。 [build_non_recursive]
    プロジェクトのビルド システムの内部依存情報は、正確でなければなりません。そうでないと、プロジェクトへの変更が正しくビルドされないことがあります。ビルドが正しくないと、欠陥(脆弱性を含む)が発生する可能性があります。大規模ビルドシステムでよく見られる間違いは、ソースファイルを含むサブディレクトリの階層で、各サブディレクトリが独立してビルドされるとき、「再帰的ビルド」か「再帰的Make」を使用することです。各サブディレクトリが完全に独立していない限り、依存関係の情報が正しくないため、これらを使用することは間違いです。

    Not applicable



    プロジェクトは、ソースファイルから情報を生成するプロセスを繰り返すことができなければならず、ビット単位でまったく同じ結果を得ることができなければなりません。ビルドが発生しない場合(例えば、ソースコードをコンパイルする代わりに直接使用するスクリプト言語)は、「該当なし」(N/A)を選択します。 [build_repeatable]
    GCCとclangのユーザーには、-frandom-seedオプションが有用であるかもしれません。場合によっては、ソート順を強制することで解決できます。 再現可能なビルドサイトで、より多くの提案を見つけることができます。

    Not applicable on my project development


  • インストールシステム


    プロジェクトは、プロジェクトで作成されたソフトウェアを一般的に使用されているやり方で簡単にインストールおよびアンインストールする方法を提供する必要があります。 [installation_common]
    たとえば、パッケージマネージャー(システムまたは言語レベル)、「make install / uninstall」(DESTDIRをサポート)、標準形式のコンテナー、または標準形式の仮想マシンイメージを使用することが挙げられます。インストールとアンインストールのプロセス(たとえば、パッケージング)は、FLOSSである限り、サードパーティによって実装されてもよいです。

    This is currently not applicable to the project because it does wasn’t build to be installed rather it can downloaded and used for development of other automation software.



    エンドユーザ用のインストール システムは、インストール時にビルドされる生成物が書き込まれる場所を選択するための標準的な規則を守らなければなりません。たとえば、POSIXシステムにファイルをインストールする場合は、DESTDIR環境変数を守らなければなりません。インストール システムがない場合や標準的な規約がない場合は、「該当なし」(N / A)を選択します。 [installation_standard_variables]

    Not applicable



    プロジェクトは、潜在的な開発者がすべてのプロジェクト結果を迅速にインストールし、テストやテスト環境を含む変更を行うために必要な環境を迅速にインストールする方法を提供しなければなりません。これは、一般に使用されている手法で実行する必要があります。 [installation_development_quick]
    これは生成されたコンテナおよび/またはインストール スクリプトを使用して実装できます。外部依存部分は、典型的には、external_dependenciesごとにシステムおよび/または言語パッケージマネージャを呼び出すことによってインストールされます。

    Developers can download everything about the software through the URL in below.

    URL : https://zenodo.org/records/10829824


  • 外部で維持管理されるコンポーネント


    プロジェクトは、外部依存関係をコンピュータ処理可能な方法でリストしなければなりません。 (URLが必要です) [external_dependencies]
    通常、これはパッケージ マネージャーやビルドシステムのやり方を使用して行われます。これは installation_development_quick の実装に役立ちます。

    プロジェクトは、既知の脆弱性を検出し、悪用可能な脆弱性を修正したり、悪用できない脆弱性として確認するために、外部の依存先(コンビニエンス コピーを含む)を監視または定期的にチェックしなければなりません。 [dependency_monitoring]
    これは、 OWASPのDependency-Check SinatypeのNexus Auditor SynopsysのBlack Duck Software Composition Analysis Bundler-audit (Rubyの場合)などのオリジンアナライザー/依存性検査ツールを使用して行うことができます。パッケージ マネージャーには、これを行うためのメカニズムが含まれています。コンポーネントの脆弱性を悪用することはできない場合、分析が難しいが、単に更新または修正する方が簡単なであれば、それは許容できます。

    The dependabot.yml file which has been updated and configured on the project periodically checks for their external dependencies and update them in other to detect known vulnerabilities and fix exploitable.



    プロジェクトは
    1. 再使用された外部管理コンポーネントの識別と更新を容易にできるようにしている、 または
    2. システムまたはプログラミング言語によって提供される標準コンポーネントを使用している
    のどちらかでなければなりません。そうすれば、再利用されたコンポーネントに脆弱性が見つかった場合に、そのコンポーネントを簡単に更新することができます。 [updateable_reused_components]
    この基準を満たす典型的な方法は、システムおよびプログラミング言語のパッケージ管理システムを使用することです。多くのFLOSSプログラムは、標準ライブラリーのローカルコピーである "コンビニエンス ライブラリー"と一緒に頒布されます(フォークされている可能性があります)。それ自体は、それでいいです。しかし、プログラムがこれらのローカルな(フォークされた)コピーを使用しなければならない場合、 セキュリティ アップデートとして"標準"ライブラリをアップデートすると、これらの追加のコピーは依然として脆弱のままです。これは、特にクラウド ベース システムの問題です。クラウド プロバイダが "標準"ライブラリを更新してもプログラムがそれらを使用しない場合、更新プログラムは実際には役に立ちません。たとえば、「Chromium:適切なパッケージとしてFedoraにまだない理由は何ですか?」Tom Callaway著を参照してください。

    This was met in a way that my commit are verified on GitHub because I activated the vigilant mode on my project. This gives my project a verified mark with a GPG token in other to make sure my project stand out from other updates reused or maintained by others developers. Also, it is easier to identify vulnerabilities on the reused maintained component.



    プロジェクトは、使用するテクノロジ セット(その "テクノロジ スタック")において、プロジェクトがサポートするユーザの超大多数がFLOSSの代替案を利用可能な(ユーザが代替手段にアクセスしている)場合には、評価の低いまたは時代遅れの機能とAPIの使用を避けるべきです。 [interfaces_current]

    I used GitHub API which makes it more efficient for me to fetch data from the main branch and then run it through a command line for the data to be stored and reused able by other branches.


  • 自動テスト スイート


    少なくとも1つのブランチの共有リポジトリへの各チェックインに対して、自動テスト スイートが適用される必要があります。このテスト スイートは、テストの成功または失敗に関するレポートを生成しなければなりません。 [automated_integration_testing]
    この要件は、test_continuous_integrationのサブセットと見ることができますが、継続的な統合を範囲外として、テストだけに焦点を当てています。

    This was successfully check and the automated process was very successful for the project. URL: https://github.com/KidiIT/Automation-repetitive-task-software/pull/31



    プロジェクトは、過去6ヶ月以内に修正されたバグの少なくとも50%について、自動テスト スイートに回帰テストを追加しなければなりません。 [regression_tests_added50]

    Not applicable.



    プロジェクトは、選択された言語でこの基準を測定できる少なくとも1つのFLOSSツールがある場合、少なくとも80%のステートメントカバレッジを提供するFLOSS自動テストスイートを備えていなければなりません。 [test_statement_coverage80]
    gcov/lcov、Blanket.js、Istanbul、JCov、covr (R) など、多くのFLOSSツールが、テストカバレッジを測定できます。この基準を満たすことは、テスト スイートが徹底していることを保証するものではないですが、それよりも、この基準を満たさないことは、貧弱なテスト スイートであることを示す強い指標であることに注意してください。

    This isn’t applicable on my project at the moment.


  • 新機能テスト


    プロジェクトには、主要な新機能が追加されると、新しい機能のテストが自動化されたテスト スイートに追加されなければならないという正式な文書化されたポリシーがなければなりません。 [test_policy_mandated]

    Not applicable on my project at the moment.



    プロジェクトは、変更提案のための文書化された手順に、重要な新機能用にテストを追加するという方針を含まなければなりません。 [tests_documented_added]
    しかし、実際にテストが追加されている限り、非公式の規則でも許容されます。

    This can be seen on the feature.md file on GitHub website of the project. The file helps users to understand and contribute to new features or functionality on the project. URL: https://github.com/KIDI-S-TECH/Automation-repetitive-task-software/blob/main/.github/ISSUE_TEMPLATE/feature_request.md?plain=1


  • 警告フラグ


    プロジェクトによって作成されたソフトウェアにある警告に、実際的な場合には、最大限に厳格にならなければなりません。 [warnings_strict]
    一部の警告は、あるプロジェクトでは効果的に有効にすることはできません。必要なのは、プロジェクトが可能な限り警告フラグを有効にするように努力しており、エラーが早期に検出されるという証拠です。

 セキュリティ 13/13

  • セキュリティに関する開発知識


    適用できる場合、プロジェクトはセキュア設計原則(「know_secure_design」から)を実装しなければなりません。プロジェクトでソフトウェアが作成されていない場合は、「該当なし」(N / A)を選択します。 [implement_secure_design]
    たとえば、プロジェクトの結果は、フェール セーフのデフォルト値を持つべきです(デフォルトではアクセスの決定は拒否されるべきで、プロジェクトのインストールはデフォルトでセキュリティ保護されているべきです)。また、完全なメディエーションであるべきです(制限されているすべてのアクセスは、権限がチェックされバイパス不可能でなければなりません)。原則が矛盾する場合があります。その場合、選択が必要です(たとえば、多くの仕組みは、「機構の節約」に反して複雑にすることも、単純にすることもできます)。

    This was met because I clearly explained on my project documentation how a secure design principles was implemented on my project. I made some contributions on LinkedIn how my secure development knowledge was used on my project.


  • 優良な暗号手法を使用する

    一部のソフトウェアは暗号化メカニズムを使用する必要がないことに注意してください。あなたのプロジェクトが作成するソフトウェアが、(1) 暗号化機能を含む、アクティブ化する、または有効化し、(2) 米国(US)から米国外または米国市民以外にリリースされる可能性がある場合は、法的に義務付けられた追加手順の実行を要求される可能性があります。通常、これにはメールの送信が含まれます。詳細については、 Understanding Open Source Technology & US Export Controls「オープンソース技術と米国の輸出管理について」)の暗号化のセクションを参照してください。

    プロジェクトによって作成されたソフトウェア内のデフォルトのセキュリティ メカニズムは、既知の重大な脆弱性を持つ暗号アルゴリズムやモード(たとえば、SHA-1暗号ハッシュ アルゴリズムまたはSSHのCBC モード)に依存してはいけません。 [crypto_weaknesses]
    SSHのCBCモードに関する懸念事項は、 CERT: SSH CBC 脆弱性にて議論されています。.

    This isn’t applicable on my project because cryptographic algorithms or modes with know serious weaknesses are not available or applicable on the project itself.



    プロジェクトは複数の暗号アルゴリズムをサポートするべきですので、ユーザーは破られた場合に素早く切り替えることができます。一般的な対称鍵アルゴリズムには、AES、Twofish、およびSerpentがあります。一般的な暗号化ハッシュ アルゴリズムには、SHA-2(SHA-224、SHA-256、SHA-384およびSHA-512を含む)およびSHA-3があります。 [crypto_algorithm_agility]

    Not applicable on the project itself.



    プロジェクトは、他の情報(構成ファイル、データベース、ログなど)とは別にしたファイルに、認証資格情報(パスワードやダイナミックトークンなど)やプライベート暗号鍵を格納することをサポートしなければなりませんし、ユーザーがコードの再コンパイルなしにそれらを更新や置き換えできるように許可しなければなりません。プロジェクトが認証資格情報とプライベート暗号化鍵を決して処理しない場合は、「該当なし」(N/A)を選択します。 [crypto_credential_agility]

    This is not applicable to the project because it does not support storing authentication credentials such as passwords and dynamic tokens.



    プロジェクトで作成されたソフトウェアは、ネットワーク通信すべてに対して、SSHv2以降、TLS1.2以降 (HTTPS)、IPsec、SFTP、SNMPv3などのセキュア プロトコルをサポートするべきです。FTP、HTTP、telnet、SSLv3以前、およびSSHv1などのセキュアでないプロトコルは、デフォルトで無効にし、ユーザーが特別に設定した場合のみ有効にするべきです。プロジェクトによって作成されたソフトウェアがネットワーク通信をサポートしない場合は、「該当なし」(N/A)を選択します。 [crypto_used_network]

    My project supports the secure protocol for all of its network communication. The URL: https://github.com/KIDI-S-TECH/Automation-repetitive-task-software.git



    プロジェクトによって作成されたソフトウェアは、TLSをサポートあるいは使用する場合、少なくともTLSバージョン1.2をサポートするべきです。TLSの前身は、SSLと呼ばれていたことに注意して下さい。ソフトウェアがTLSを使用ない場合、「該当なし」(N/A)を選択します。 [crypto_tls12]

    The project is been built under a secured domain name protocol HTTPS which allows users to access the network without having to worry about security. Also it supports all protocols for network communication. URL: https://github.com/KIDI-S-TECH/Automation-repetitive-task-software.git



    TLSをサポートしている場合、プロジェクトで作成されたソフトウェアは、TLSを使う時には、サブリソースを含めて、デフォルトでTLS認証を受けなければなりません。ソフトウェアがTLSを使用しない場合、「該当なし」(N/A)を選択します。 [crypto_certificate_verification]
    誤ったTLS認証の検証は、よくある間違いであることに注意して下さい。詳細については、「世界でもっとも危険なコード:非ブラウザー ソフトウェアでのSSL認証の検証」Martin Georgiev et al著「このアプリケーションを信頼しますか?」Michael Catanzaro著.を参照して下さい。

    The action was done on my projects. When I verified my project websites and emails in other to automatically in other to validate such TLS certificates verification by default



    TLSをサポートしている場合、プロジェクトによって作成されたソフトウェアは、(たとえばセキュアクッキーなど)プライベートな情報をHTTPヘッダと共に送信する前に、証明書の検証をしなければなりません。ソフトウェアがTLSを使用しない場合は、「該当なし」(N/A)を選択します。 [crypto_verification_private]

    This was met on my project but it’s currently not publicly available or visible because I followed the best practices of performing certificate verification which supports TLS protocol for all projects or software that will be built on the project.


  • 公開物の安全性


    プロジェクトは、広く普及することを意図しているプロジェクト結果のリリースには暗号で署名しなければなりませんし、パブリック署名鍵を入手して署名を検証する方法をユーザに説明するプロセスがなければなりません。これらの署名の秘密鍵は、ソフトウェアを一般に直接配布するために使用されるサイトにあってはなりません。リリースが広く普及することを意図していない場合は、「該当なし」(N/A)を選択します。 [signed_releases]
    プロジェクトの結果には、ソースコードと生成された成果物(実行可能ファイル、パッケージ、コンテナなど)が含まれます。生成された成果物は、ソースコードとは別に署名することができます。これらは、(暗号デジタル署名を使用して)署名付きgitタグとして実装できます。プロジェクトはgitのようなツールとは別に生成された結果を提供するかもしれませんが、そのような場合、別々の結果を別々に署名しなければなりません。

    This is not applicable because it’s not intended for widespread use.



    バージョン管理システムでは、 signed_releases で説明されているように、重要なバージョンタグ(メジャーリリース、マイナーリリース、または公開されている脆弱性の一部であるタグ)を暗号署名して検証することが推奨されています。 [version_tags_signed]

    I made use of the vigilante mode that verifies any release of version control systems of the software. It assigned a GPG key ID to any version control update of the software or fixes publicly noted vulnerabilities on the project.


  • その他のセキュリティ上の課題


    プロジェクトの結果は、潜在的に信頼できないソースからのすべての入力をチェックして有効であること(*allowlist*)を確認し、データに何らかの制限がある場合は無効な入力を拒否しなければなりません。 [input_validation]
    攻撃者はしばしばブラックリストを回避することができるので、入力を "不正な形式" のリスト(別名*denylist*)と比較するのは、通常十分ではないことに注意してください。特に、数値は内部形式に変換され、最小値と最大値の間であるかがチェックされますし、文字列は、有効なテキストパターン(有効なUTF-8、長さ、構文など)であることを確認するためにチェックされます。一部のデータは「何でもよい」(たとえばファイル アップローダー)ことがありますが、通常はまれです。

    The project has been tested and approved. The code scanning tool I used on my project helps to scan and validate all input on my project and notify if any was rejected. However, it uses UTF-8 text Strings language for easy identification of data by the software.



    プロジェクトによって作成されたソフトウェアで強化メカニズムを使用するべきですので、ソフトウェア欠陥がセキュリティ上の脆弱性を引き起こす可能性が低くなります。 [hardening]
    強化メカニズムは、Content Security Policy(CSP)などのHTTPヘッダー、攻撃を緩和するコンパイラ フラグ(-fstack-protectorなど)、または未定義の動作を排除するためのコンパイラ フラグを含みます。私たちの目的のために、最低限の特権は強化メカニズムとはみなされません(最低の特権は重要ですが、別の話です)。

    MFA has been implemented on the project. Which allows me the owner to verify my identity in two or three ways before I could access some certain information on my project. This reduces security vulnerabilities and software defects https://github.com/KIDI-S-TECH/Automation-repetitive-task-software/blob/main/SECURITY.md



    プロジェクトは、そのセキュリティ要件が満たされていることを証明する保証ケースを提供しなければならない。保証ケースには、脅威モデルの説明、信頼境界の明確な識別、セキュアな設計原則が適用されていることの議論、共通の実装セキュリティの弱点が対処されたことの議論が含まれなければならない。 (URLが必要です) [assurance_case]
    保証ケースは、「システムのプロパティに関する特定の一連の重大なクレームが、特定の環境とアプリケーションに対して適切に正当化されていることを説得力のある正当な議論で示す証拠」である(「構造化された保証ケースモデルを使用したソフトウェア保証」、Thomas Rhodes他、NIST Interagency Report 7608 )。信頼境界は、データまたは実行がその信頼レベル、例えば、典型的なウェブアプリケーションにおけるサーバの境界、を変更する境界である。安全な設計原則(SaltzerやSchroeerなど)と一般的な実装セキュリティの弱点(OWASPトップ10やCWE / SANSトップ25など)をリストし、それぞれがどのように対抗しているかを示すのは一般的です。 BadgeAppの保証ケースは良い参考例になるかもしれません。これは、documentation_security、documentation_architecture、およびimplement_secure_designに関連しています。

    Currently the URL below shows that requirement are met and it’ll be updated once the new URL pops up.

    URL: https://zenodo.org/records/10829824


 分析 2/2

  • 静的コード解析


    プロジェクトは、選択された言語でこの基準を実装できる少なくとも1つのFLOSSツールがある場合、解析された言語または環境で共通の脆弱性を探すためのルールまたはアプローチを備えた少なくとも1つの静的解析ツールを使用しなければならなりません。 [static_analysis_common_vulnerabilities]
    一般的な脆弱性を探すために特別に設計された静的解析ツールは、それらを見つける可能性が高いです。つまり、静的ツールを使用すると、通常は問題を見つけるのに役立ちますので、利用を提案しますが、「合格」レベルのバッジには要求しません。

    Yes, I used a static analysis tool on my project which periodically check for any vulnerabilities on my project and in an analyzed language or environment. the CodeQL / Analyze (javascript-typescript) (dynamic). the GitHub Advanced security also help in a more productive way. URL: https://github.com/KIDI-S-TECH/Automation-repetitive-task-software/actions/runs/8928352421/job/24523743906


  • 動的コード分析


    もしプロジェクトで作成されたソフトウェアにメモリ安全でない言語(CやC ++など)を使用して作成されたソフトウェアが含まれているならば、そのときには 少なくとも1つの動的ツール(たとえば、ファジーまたはウェブ アプリケーション スキャナ)を、バッファの上書きなどのメモリの安全性の問題を検出するメカニズムと一緒にいつも使用します。プロジェクトがメモリ安全でない言語で書かれたソフトウェアを作成しない場合は、「該当なし」(N/A)を選択します。 [dynamic_analysis_unsafe]
    メモリの安全性の問題を検出するメカニズムの例としては、アドレスサニタイザー(ASAN)(GCCおよびLLVMで利用可能)、 Memory Sanitizer 、および valgrind が含まれます。他に使用される可能性のあるツールには、スレッドサニタイザ定義されていない動作サニタイザを参照してください。広範なアサーションも機能します。

    this is not applicable on my project because it's not written using a memory-unsafe language.



このデータは、Creative Commons Attribution version 3.0以降のライセンス(CC-BY-3.0 +)のもとで利用できます。すべての人がデータを自由に共有および適応できますが、適切にクレジットを入れる必要があります。 KIDI'S-TECHとOpenSSFベストプラクティス バッジ貢献者のクレジットを入れてください。

プロジェクト バッジ登録の所有者: KIDI'S-TECH.
エントリの作成日時 2023-12-25 23:03:33 UTC、 最終更新日 2024-05-31 18:18:13 UTC 最後に2024-05-02 15:25:30 UTCにバッジ合格を達成しました。

もどる