Metal3 (Metal Kubed)

本サイトが提示する下記のベストプラクティスを実行するプロジェクトは、Open Source Security Foundation (OpenSSF) バッジを達成したことを自主的に自己認証し、そのことを外部に示すことができます。

これがあなたのプロジェクトなら、あなたのプロジェクトページにあなたのバッジステータスを表示してください!バッジステータスは次のようになります。 プロジェクト 9160 のバッジ レベルは passing です バッジステータスの埋め込み方法は次のとおりです。

これらはゴールドレベルの基準です。合格またはシルバーレベル基準を表示することもできます。

        

 基本的情報 2/5

  • 識別情報

    The Metal3 Project's mission is to empower organizations with a flexible, open-source solution for bare metal provisioning that combines the benefits of bare metal performance with the ease of use and automation provided by Kubernetes.

    There are a number of great open source tools for bare metal host provisioning, including Ironic. Metal3 aims to build on these technologies to provide a Kubernetes native API for managing bare metal hosts via a provisioning stack that is also running on Kubernetes. We believe that Kubernetes Native Infrastructure, or managing your infrastructure just like your applications, is a powerful next step in the evolution of infrastructure management.

    The Metal3 project is also building integration with the Kubernetes cluster-api project, allowing Metal3 to be used as an infrastructure backend for Machine objects from the Cluster API. These components integrate seamlessly to leverage the Kubernetes ecosystem and automate the provisioning and management of bare-metal infrastructure.

  • 前提要件


    バッジには不十分です。

    プロジェクトは、シルバー レベル バッジを達成しなければなりません。 [achieve_silver]

  • プロジェクトの管理・運営


    バッジには十分です!

    プロジェクトは2以上の "バス ファクタ"を持つ必要があります。 (URLが必要です) [bus_factor]

    https://github.com/metal3-io/community/blob/main/maintainers/ALL-OWNERS


    バッジには十分です!

    プロジェクトには少なくとも2人の関係を持たない重要な貢献者がいなければなりません。 (URLが必要です) [contributors_unassociated]

    We have major contributors and org owners from Ericsson and Red Hat, as well as major contributors from elsewhere.

    CNCF stats: https://all.devstats.cncf.io/d/66/developer-activity-counts-by-companies?orgId=1&var-period_name=Last%20year&var-metric=contributions&var-repogroup_name=Metal%C2%B3&var-country_name=All&var-companies=All


  • その他


    バッジには不十分です。

    プロジェクトは、各ソースファイルにライセンスステートメントを含まなければなりません。これは、各ファイルの先頭近くに次のコメントを含めることによって行うことができます: SPDXライセンス識別子:[プロジェクトに対するSPDXライセンス表現] [license_per_file]

    Each repository has LICENCE in its root, but not in each source file. https://github.com/metal3-io/community/blob/main/LICENSE


  • 公開されたバージョン管理ソースリポジトリ


    バッジには十分です!

    プロジェクトのソースリポジトリは、共通の分散バージョン管理ソフトウェア(gitやmercurialなど)を使用しなければなりません。 [repo_distributed]

    Github is used.


    バッジには十分です!

    プロジェクトは、新規または偶に参加する貢献者によって実行できる小さなタスクを明確に識別しなければなりません。 (URLが必要です) [small_tasks]

    We have "help wanted", "good first issue" labels. https://github.com/issues?q=archived%3Afalse+user%3Ametal3-io+label%3A%22good+first+issue%22+is%3Aissue+sort%3Acreated-asc+is%3Aopen+


    必須情報が不明、バッジに十分ではありません。

    プロジェクトは、中央リポジトリを変更したり、機密データ(プライベート脆弱性レポートなど)にアクセスするために、開発者に対して二要素認証(2FA)を要求する必要があります。推奨されませんが、2FAメカニズムは、SMSのような暗号化メカニズムを持たないメカニズムを使用することができます。 [require_2FA]

    Some 2FA requirements are in place, but to be verified if enough is covered.


    バッジには十分です!

    プロジェクトの2要素認証(2FA)は、偽装を防ぐために暗号化メカニズムを使用すべきです。ショート メッセージ サービス(SMS)ベースの2FA自体は、暗号化されていないため、この基準を満たしていません。 [secure_2FA]

    Github 2FA including TOTP should qualify for this.


  • コーディング標準


    必須情報が不明、バッジに十分ではありません。

    プロジェクトは、コードレビューの実施方法、チェックする必要があるもの、受け入れられる必要があるものなど、コードレビュー要件を文書化しなければなりません。 (URLが必要です) [code_review_standards]

    バッジには十分です!

    プロジェクトは、公開する前に、提案されたすべての変更の少なくとも50%を著作者以外の人がレビューして、それが価値のある変更であり、取り込みに反対する既知の問題がないかどうかを判断しなければなりません。 [two_person_review]

    All PRs must be reviewed by 2 persons. Self-review is not allowed.


  • 作業ビルドシステム


    必須情報が不明、バッジに十分ではありません。

    プロジェクトが再現可能なビルドを持たなければなりません。ビルドが発生しない場合(たとえば、コンパイルされないでソースコードが直接使用されるスクリプト言語)、「該当なし」(N/A)を選択します。 (URLが必要です) [build_reproducible]

    To be verified if Go builds are reproducible as is, since the Go puts date, time, machine etc in the binary.


  • 自動テスト スイート


    バッジには十分です!

    テストスイートは、その言語の標準的な方法で呼び出すことができなければなりません。 (URLが必要です) [test_invocation]

    Tests are run in standard way per language. Example: CAPM3 https://github.com/metal3-io/cluster-api-provider-metal3/blob/db5d18f1b6e99e52189b2c0d136f8894acc9d67a/Makefile#L243


    バッジには十分です!

    プロジェクトは、新しいコードまたは変更されたコードが頻繁に中央コードリポジトリに統合され、その結果に対して自動化されたテストが実行される、継続的な統合を実装しなければなりません。 (URLが必要です) [test_continuous_integration]

    We use k8s Prow for managing CI, which consists of all levels of tests as requirement to merging changes. Prow, GH workflows and e2e in Jenkins, with various level of testing (integration, real hardware, features, etc)

    https://prow.apps.test.metal3.io/


    必須情報が不明、バッジに十分ではありません。

    プロジェクトは、選択された言語でこの基準を測定できる少なくとも1つのFLOSSツールがある場合、少なくとも80%のステートメント カバレッジを提供するFLOSS自動テストスイートを備えていなければなりません。 [test_statement_coverage90]

    Coverage percentage to be verified.


    必須情報が不明、バッジに十分ではありません。

    選択された言語でこの基準を測定できる少なくとも1つのFLOSSツールがあれば、少なくとも80%のブランチカバレッジを提供するFLOSS自動テストスイートがプロジェクトに存在しなければなりません。 [test_branch_coverage80]

    Coverage percentage to be verified.


  • 優良な暗号手法を使用する

    一部のソフトウェアは暗号化メカニズムを使用する必要がないことに注意してください。あなたのプロジェクトが作成するソフトウェアが、(1) 暗号化機能を含む、アクティブ化する、または有効化し、(2) 米国(US)から米国外または米国市民以外にリリースされる可能性がある場合は、法的に義務付けられた追加手順の実行を要求される可能性があります。通常、これにはメールの送信が含まれます。詳細については、 Understanding Open Source Technology & US Export Controls「オープンソース技術と米国の輸出管理について」)の暗号化のセクションを参照してください。

    バッジには十分です!

    プロジェクトで作成されたソフトウェアは、ネットワーク通信すべてに対して、SSHv2以降、TLS1.2以降 (HTTPS)、IPsec、SFTP、SNMPv3などのセキュア プロトコルをサポートしなければなりません。FTP、HTTP、telnet、SSLv3以前、SSHv1などのセキュアでないプロトコルは、デフォルトで無効にしておき、ユーザーが特別に設定した亜場合のみ有効にしなければなりません。プロジェクトによって作成されたソフトウェアがネットワーク通信をサポートしない場合は、「該当なし」(N/A)を選択します。 [crypto_used_network]

    We have TLS 1.3 by default and do not use old/weak protocols.


    バッジには十分です!

    プロジェクトによって作成されたソフトウェアは、TLSをサポートあるいは使用する場合、少なくともTLSバージョン1.2をサポートしなければなりません。TLSの前身は、SSLと呼ばれていたことに注意して下さい。ソフトウェアがTLSを使用ない場合、「該当なし」(N/A)を選択します。 [crypto_tls12]

    We have TLS 1.3 by default.


  • MITM(man-in-the-middle:中間者)攻撃に対応できる安全な配信


    バッジには不十分です。

    プロジェクトウェブサイト、リポジトリ(ウェブからアクセス可能な場合)、およびダウンロードサイト(別々の場合)には、許容できない値を持つキー強化ヘッダーが含まれていなければなりません。 (URLが必要です) [hardened_site]

    // X-Content-Type-Options was not set to "nosniff".


  • その他のセキュリティ上の課題


    バッジには不十分です。

    プロジェクトは過去5年間にセキュリティレビューを実施していなければなりません。このレビューは、セキュリティ要件とセキュリティ境界を考慮しなければならりません。 [security_review]

    No external security review performed.


    必須情報が不明、バッジに十分ではありません。

    プロジェクトによって作成されたソフトウェアで強化メカニズムを使用しなければならないので、ソフトウェア欠陥がセキュリティ上の脆弱性を引き起こす可能性が低くなります。 (URLが必要です) [hardening]

    We are hardened by default, but do not have hardening documentation available. To be fixed.


  • 動的コード分析


    バッジには不十分です。

    プロジェクトは、リリース前にプロジェクトによって作成されたソフトウェアの主要な製品リリースに対して、少なくとも1つの動的解析ツールを適用しなければなりません。 [dynamic_analysis]

    No fuzzing is implemented yet.


    バッジには十分です!

    プロジェクトは、生成するソフトウェアに多くの実行時アサーションを含めるべきであり、動的分析中にそれらのアサーションをチェックするべきです。 [dynamic_analysis_enable_assertions]

    No assertions are enabled in production builds. Gold check for dynamic analysis missing.



このデータは、Creative Commons Attribution version 3.0以降のライセンス(CC-BY-3.0 +)のもとで利用できます。すべての人がデータを自由に共有および適応できますが、適切にクレジットを入れる必要があります。 Tuomo TanskanenとOpenSSFベストプラクティス バッジ貢献者のクレジットを入れてください。

プロジェクト バッジ登録の所有者: Tuomo Tanskanen.
エントリの作成日時 2024-06-26 08:53:13 UTC、 最終更新日 2024-06-26 12:51:11 UTC 最後に2024-06-26 12:50:58 UTCにバッジ合格できませんでした。 最後に2024-06-26 12:51:11 UTCにバッジ合格を達成しました。

もどる