OWASP Threat Dragon

Проекты, которые следуют приведенным ниже лучшим практикам, могут добровольно и самостоятельно оценить себя и продемонстрировать, что они получили значок Open Source Security Foundation (OpenSSF).

Если это ваш проект, пожалуйста, покажите свой значок на странице проекта! Статус значка выглядит следующим образом: Уровень значка для проекта 9266 - passing Вот как вставить его:

Это критерии уровня Passing. Вы также можете просмотреть критерии уровня Silver или Gold.

        

 Основы 13/13

  • Идентификация

    Threat Dagon is an open source threat modeling tool and is one of the official OWASP projects. It is used to draw threat modeling diagrams and to list threats for elements in the diagram along with their remediations.

    Threat Dragon is primarily a web application which can store threat model files on the local filesystem. In addition access can be configured for access to GitHub, Bitbucket, GitLab and Github Enterprise. The desktop versions of Threat Dragon stores the threat model files on the local filesystem only, with installers for Windows, MacOS and Linux.

    Какие языки программирования используются для реализации проекта?

  • Основная информация на веб-сайте проекта


    Достаточно для значка!

    Веб-сайт проекта ОБЯЗАН кратко описывать, что делает программное обеспечение (какую проблему решает?). [description_good]

    The project documentation website provides the description: https://owasp.org/www-project-threat-dragon/#div-description as well as the project website: https://github.com/OWASP/threat-dragon/blob/main/README.md


    Достаточно для значка!

    Веб-сайт проекта ОБЯЗАН предоставлять информацию о том, как: получать и предоставлять обратную связь (например, отчеты об ошибках или улучшения) и вносить свой вклад в программное обеспечение. [interact]

    Information on contributing is here: https://github.com/OWASP/threat-dragon/blob/main/contributing.md With security bugs reported here: https://github.com/OWASP/threat-dragon/blob/main/security.md And bug reports / enhancements here: https://github.com/OWASP/threat-dragon/blob/main/README.md


    Достаточно для значка!

    В описании того, как сделать вклад, НЕОБХОДИМО объяснить процесс внесения вклада (например, используются ли pull request'ы). (Требуется URL) [contribution]

    Non-trivial contribution file in repository: https://github.com/OWASP/threat-dragon/blob/main/contributing.md.


    Достаточно для значка!

    В информацию о том, как внести вклад, СЛЕДУЕТ включать требования к приемлемым взносам (например, ссылку на любой требуемый стандарт кодирования). (Требуется URL) [contribution_requirements]

    The code of conduct details acceptable behavior: https://github.com/OWASP/threat-dragon/blob/main/code_of_conduct.md and there is also a page on how to contribute along with the CoC: https://github.com/OWASP/threat-dragon/blob/main/contributing.md


  • Свободная лицензия

    Под какой/какими лицензией/ями выпускается проект?


    Достаточно для значка!

    ПО, создаваемое проектом, ОБЯЗАНО быть выпущено под свободной лицензией. [floss_license]

    The Apache-2.0 license is approved by the Open Source Initiative (OSI).


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО, чтобы все лицензии для ПО, создаваемого проектом, были одобрены Open Source Initiative (OSI). [floss_license_osi]

    The Apache-2.0 license is approved by the Open Source Initiative (OSI).


    Достаточно для значка!

    Проект ОБЯЗАН публиковать лицензию или лицензии своих результатов в стандартном расположении в своем репозитории исходного кода. (Требуется URL) [license_location]

    Non-trivial license location file in repository: https://github.com/OWASP/threat-dragon/blob/main/license.txt.


  • Документация


    Достаточно для значка!

    Проект ОБЯЗАН предоставлять базовую документацию для программного обеспечения, создаваемого проектом. [documentation_basics]

    The project has a separate documentation repository: https://github.com/OWASP/www-project-threat-dragon This provides user documentation, along woth details on how to test it as a developer, for both version 1.x: https://owasp.org/www-project-threat-dragon/docs-1/ and version 2.x: https://owasp.org/www-project-threat-dragon/docs-2/


    Достаточно для значка!

    Проект ОБЯЗАН предоставлять справочную документацию, описывающую внешний интерфейс (как входной, так и выходной) программного обеспечения, создаваемого проектом. [documentation_interface]

    There is dociumentation on how to get started: https://owasp.org/www-project-threat-dragon/docs-2/getting-started/ Along with other topics such as installation and so on : https://owasp.org/www-project-threat-dragon/docs-2/install-webapp/


  • Другое


    Достаточно для значка!

    Сайты проекта (веб-сайт, репозиторий и URL-адреса для загрузки) ОБЯЗАНЫ поддерживать HTTPS с использованием TLS. [sites_https]

    Given only https: URLs.


    Достаточно для значка!

    Проект ОБЯЗАН иметь один или несколько механизмов для обсуждения (включая предлагаемые изменения и проблемы), которые доступны для поиска, позволяют ссылаться на сообщения и темы по URL, позволяют новым людям участвовать в некоторых обсуждениях и не требуют установки на стороне клиента проприетарного программного обеспечения. [discussion]

    GitHub supports discussions on issues and pull requests and these are used by Threat Dragon: https://github.com/OWASP/threat-dragon/discussions https://github.com/OWASP/threat-dragon/issues


    Достаточно для значка!

    Проекту СЛЕДУЕТ предоставлять документацию на английском языке и иметь возможность принимать отчеты об ошибках и комментарии о коде на английском языке. [english]

    Bug reports and comments / enhancements are entered as github issues, which can be entered in English: https://github.com/OWASP/threat-dragon/issues


    Достаточно для значка!

    НЕОБХОДИМО, чтобы проект поддерживался. [maintained]

    The project received its 3000th commit on Jul 29, 2024 : https://github.com/OWASP/threat-dragon/commits/main/



(Дополнительно) Какие другие пользователи имеют дополнительные права на редактирование этой записи значка? В настоящее время: []



This is an active official OWASP project that has OWASP Laboratory status. The first commit to the original threat dragon repository was made on 9th October 2015 and has been in continual development since then.

  • Публичное хранилище исходного кода с поддержкой версий


    Достаточно для значка!

    Проект ОБЯЗАН иметь репозиторий (хранилище) исходного кода с управлением версиями, который является общедоступным и имеет URL. [repo_public]

    Repository on GitHub, which provides public git repositories with URLs: https://github.com/OWASP/threat-dragon


    Достаточно для значка!

    Проектный репозиторий исходного кода ОБЯЗАН отслеживать, какие изменения были внесены, кто внес изменения и когда изменения были сделаны. [repo_track]

    Repository on GitHub, which uses git, is here: https://github.com/OWASP/threat-dragon git can track the changes, who made them, and when they were made. Repository on GitHub, which uses git. git can track the changes, who made them, and when they were made.


    Достаточно для значка!

    Чтобы обеспечить возможность для проверки другими участниками, проектный репозиторий исходного кода ОБЯЗАН включать промежуточные версии для проверки между релизами; НЕДОПУСТИМО хранить в репозитории лишь финальные версии. [repo_interim]

    The git tags are used to provide interim releases, for example: https://github.com/OWASP/threat-dragon/tags?after=v2.0.5 Sometimes the releases are just released, but sometimes they go through iterations before release after review


    Достаточно для значка!

    Для хранилища проектного исходного кода ЖЕЛАТЕЛЬНО использовать типовое ПО для распределенного управления версиями (например, git). [repo_distributed]

    Repository on GitHub, which uses git, is here: https://github.com/OWASP/threat-dragon git is common distributed version control software Repository on GitHub, which uses git. git is distributed.


  • Уникальная нумерация версий


    Достаточно для значка!

    Результаты проекта ОБЯЗАНЫ иметь уникальный идентификатор версии для каждой версии, предназначенной для конечных пользователей. [version_unique]

    The project uses semantic versioning and the released versions are here: https://github.com/OWASP/threat-dragon/releases with the latest version 2.2.0 given here: https://github.com/OWASP/threat-dragon/releases/tag/v2.2.0


    Достаточно для значка!

    Для выпусков ЖЕЛАТЕЛЬНО использовать семантическую либо календарную нумерацию версий. При использовании календарной нумерации к версии ЖЕЛАТЕЛЬНО добавлять микро-компоненту. [version_semver]

    Достаточно для значка!

    Проектам ЖЕЛАТЕЛЬНО идентифицировать каждый выпуск в своей системе управления версиями. Например, при использовании git ЖЕЛАТЕЛЬНО идентифицировать каждую версию, используя теги git. [version_tags]

    Here are the tags for each release: https://github.com/OWASP/threat-dragon/tags Note that releases before version 1.3 were from a different (private) repo before it transferred over to the official OWASP repo


  • Примечания к выпуску


    Достаточно для значка!

    Проект ОБЯЗАН предоставлять с каждой выпускаемой версией замечания к выпуску - удобочитаемые человеком сведения об основных изменениях в этом выпуске, помогающие пользователям определить, должны ли они обновляться и какими будут последствия обновления. НЕДОПУСТИМО делать замечания к выпуску сырым выводом журнала управления версиями (например, результаты команды «git log» не являются замечаниями к выпуску). Проекты, результаты которых не предназначены для повторного использования в нескольких местах (например, программное обеспечение для одного веб-сайта или службы) И выдаются через непрерывную доставку (continuous delivery) МОГУТ выбрать «неприменимо» (N/A). (Требуется URL) [release_notes]

    They are not released as separate files, but are added to the release area itself in the description for each release as text tailored for the individual release, for example: https://github.com/OWASP/threat-dragon/releases/tag/v2.2.0


    Достаточно для значка!

    В замечаниях о выпуске НЕОБХОДИМО упоминать каждую общеизвестную уязвимость, исправленную ​​в каждой новой версии, для которой существует CVE или аналогичная публичная запись. Критерий может быть отмечен как неприменимый (N/A), если у пользователей обычно нет практической возможности обновить данное ПО самостоятельно (это часто относится к, например, обновлениям ядра операционной системы). Если замечаний о выпуске не публиковалось или не было обнародованных уязвимостей, отвечайте "неприменимо". [release_notes_vulns]

    So far no publicly known vulnerabilities or even publicly unknown ones ;) The one advisory published did not need a CVE: https://github.com/OWASP/threat-dragon/security/advisories/GHSA-6r5p-cg7w-2rrv


  • Процесс сообщения об ошибках


    Достаточно для значка!

    Проект ОБЯЗАН предоставить пользователям возможность отправлять сообщения об ошибках (например, используя систему отслеживания ошибок или список рассылки). (Требуется URL) [report_process]

    Both GitHub issue tracker: https://github.com/OWASP/threat-dragon/issues and also via direct contact with the project leaders: https://github.com/OWASP/threat-dragon?tab=readme-ov-file#contributing


    Достаточно для значка!

    СЛЕДУЕТ использовать трекер вопросов (issue tracker) для отслеживания отдельных вопросов. [report_tracker]

    Yes, GitHub issue tracker provides this : https://github.com/OWASP/threat-dragon/issues


    Достаточно для значка!

    Проект ОБЯЗАН подтверждать получение большинства сообщений об ошибках, отправленных за последние 2-12 месяцев (включительно); подтверждение не обязательно включает исправление. [report_responses]

    Bug reports all have a comment acknowledging the report, except for some of the ones raised by the project leader (Jon Gadsden): https://github.com/OWASP/threat-dragon/issues?q=is%3Aissue+is%3Aopen+label%3Abug and the closed bugs mostly have comments: https://github.com/OWASP/threat-dragon/issues?q=is%3Aissue+label%3Abug+is%3Aclosed


    Достаточно для значка!

    Проекту СЛЕДУЕТ реагировать на большинство (>50%) запросов на улучшения в течение последних 2-12 месяцев (включительно). [enhancement_responses]

    The enhancement requests have all been responded to, except for some of the ones raised by the project leader (Jon Gadsden) : https://github.com/OWASP/threat-dragon/issues?q=is%3Aissue+is%3Aopen+label%3Aenhancement


    Достаточно для значка!

    Проект ОБЯЗАН иметь общедоступный архив для отчетов и ответов для последующего поиска. (Требуется URL) [report_archive]

    Yes, via GitHub isue tracker : https://github.com/OWASP/threat-dragon/issues


  • Процесс отчета об уязвимостях


    Достаточно для значка!

    Проект ОБЯЗАН публиковать процесс уведомления об уязвимостях на сайте проекта. (Требуется URL) [vulnerability_report_process]

    Vulnerability reporting process is detailed here and uses the GitHub security vulnerability reporting process: https://github.com/OWASP/threat-dragon/blob/main/security.md


    Достаточно для значка!

    Если поддерживаются приватные отчеты об уязвимости, проект ОБЯЗАН включить описание того, как отправлять сведения конфиденциальным способом. (Требуется URL) [vulnerability_report_private]

    This is supported using GitHub security vulnerability reporting process: https://github.com/OWASP/threat-dragon/security/advisories/new


    Достаточно для значка!

    Проект ОБЯЗАН обеспечивать время первоначального отклика на любой отчет об уязвимости, полученный за последние 6 месяцев, в пределах 14 дней или меньше. [vulnerability_report_response]

    The one vulnerability report received was on Nov 16, 2023 and was fixed by Nov 29, 2023 : https://github.com/OWASP/threat-dragon/security/advisories/GHSA-6r5p-cg7w-2rrv


  • Рабочая система сборки


    Достаточно для значка!

    Если программное обеспечение, создаваемое проектом, требует сборки для использования, проект ОБЯЗАН предоставить рабочую систему сборки, которая может автоматически пересобирать программное обеспечение из исходного кода. [build]

    The software is written using Javascript, and the implementation runs directly from the source code using Node.js . The docker images are built and published automatically using a github workflow on merge to the main branch: https://github.com/OWASP/threat-dragon/blob/main/.github/workflows/push.yaml there are various github workflows that build Threat Dragon on push, release, pull-request and nightly


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО использовать общеупотребительные инструменты для сборки программного обеспечения. [build_common_tools]

    Threat Dragon is a Vue/Node.js application and is built using npm (Node.js Package Manager) and Electron (desktop system for Node.js applications). Both of these are common tools used by the FLOSS community


    Достаточно для значка!

    Для сборки проекта СЛЕДУЕТ использовать только инструменты со свободными лицензиями. [build_floss_tools]

    The Threat Dragon is a Node.js application and uses 100% FLOSS packages sourced from the npm package registry


  • Набор автотестов


    Достаточно для значка!

    Проект ОБЯЗАН использовать по крайней мере один автоматизированный набор тестов, опубликованный как свободное ПО (этот набор тестов может поддерживаться как отдельный проект свободного ПО). Проект ОБЯЗАН ясно показывать или иметь документацию о том, как запускать наборы тестов (например, через непрерывную интеграцию (CI) или используя файлы документации, такие как BUILD.md, README.md или CONTRIBUTING.md). [test]

    The Threat Dragon back end is based on the Express web server and has a set of unit tests using the mocha test framework, with the CLI provided by nyc The application is written using the Vue framework and has unit tests using jest with the CLI provided by vue-cli-service Functional testing of the application is provided by Cypress test framework


    Достаточно для значка!

    Запуск набора тестов СЛЕДУЕТ реализовывать стандартным способом для этого языка. [test_invocation]

    Both the funtional testsand the unit tests for both the application and the back end are invoked using scripts contained in the Node.js package.json file, which is the standard way to run tests for a Node.js application, just type 'npm test' There is a documentation page on the unit tests: https://owasp.org/www-project-threat-dragon/docs-2/unit/ and on the functional end-to-end tests: https://owasp.org/www-project-threat-dragon/docs-2/e2e/


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО охватывать набором тестов большинство (а в идеале все) ветви кода, поля ввода и функциональные возможности. [test_most]

    The code coverage for both applications and back-end are displayed at the end of the unit tests, run using standard Node.js command npm test


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО реализовать непрерывную интеграцию (Continuous Integration - частая интеграция нового или измененного кода в центральное хранилище кода, и запуск автоматических тестов на получившейся базе кода). [test_continuous_integration]

    there are various github workflows that build Threat Dragon on push, release, pull-request and nightly : https://github.com/OWASP/threat-dragon/tree/main/.github/workflows


  • Тестирование новых функций


    Достаточно для значка!

    Проект ОБЯЗАН иметь общую политику (формальную или нет), обязывающую добавлять тесты в набор автоматических тестов по мере добавления новых функциональных возможностей к программному обеспечению, создаваемому проектом. [test_policy]

    this policy is in the contributing instructions at : https://github.com/OWASP/threat-dragon/blob/main/contributing.md#ground-rules


    Достаточно для значка!

    Проект ОБЯЗАН иметь доказательства того, что критерий test_policy о добавлении тестов соблюдался при недавних крупных изменениях ПО, создаваемого проектом. [tests_are_added]

    latest features are required to have unit tests and functional tests, for example a recent pull request : https://github.com/OWASP/threat-dragon/pull/1239/files


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО задокументировать эту политику добавления тестов (см. критерий test_policy) в инструкции к предложениям об изменениях. [tests_documented_added]

    the pull request template has documented instructions on contributing which are inorporated in every pull request using the template: https://github.com/OWASP/threat-dragon/blob/main/.github/pull_request_template.md


  • Флаги предупреждений


    Достаточно для значка!

    Проект ОБЯЗАН включать один или несколько предупреждающих флагов компилятора, «безопасный» языковой режим или использовать отдельный инструмент «linter» для поиска ошибок качества кода или типовых простых ошибок, если есть хотя бы один инструмент на свободном ПО, который может реализовать этот критерий на выбранном языке. [warnings]

    The Vue Javascript linter, vue-cli-service lint, is run as a pretest before running the unit tests. If this fails then the unit tests will not run. the unit tests are part of the pipelines run on pull-request and commit to main branch, and the pipelines will fail if the unit tests / linter throws errors


    Достаточно для значка!

    Проект ОБЯЗАН обращать внимание на предупреждения. [warnings_fixed]

    warning are reported when running unit tests and functional tests. These are reported to the console so that they can be addressed during code development


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО, чтобы проекты использовали самый строгий режим предупреждений в производимом ПО, где это целесообразно. [warnings_strict]

    the .eslintrc.js are configured to be maximally strict with errors thrown when any rules are broken : * https://github.com/OWASP/threat-dragon/blob/main/td.vue/.eslintrc.js * https://github.com/OWASP/threat-dragon/blob/main/td.server/.eslintrc.js * https://github.com/OWASP/threat-dragon/blob/main/td.vue/tests/e2e/.eslintrc.js


  • Знание безопасной разработки


    Достаточно для значка!

    По крайней мере один основной разработчик на проекте ОБЯЗАН знать, как проектировать безопасное программное обеспечение (точные требования описаны в подробностях к критерию). [know_secure_design]

    The project leader for Threat Dragon, Jon Gadsden, is the main contributor to the OWASP Developer Guide. The demonstrates a good depth of knowledge on secure coding and secure software development lifecycles: https://owasp.org/www-project-developer-guide/release/


    Достаточно для значка!

    По крайней мере, один из основных разработчиков проекта ОБЯЗАН знать об общих видах ошибок, которые приводят к уязвимостям в этом виде программного обеспечения, а также по крайней мере одному методу противодействия или смягчения каждого из них. [know_common_errors]

    Jon Gadsden, the project leader for Threat Dragon, is a software security engineer in a product security team and is familiar with erros that lead to software vulnerabilities. In addition he has an ISC2 CSSLP qualification that demonstrates this


  • Основы правильного использования криптографии

    Обратите внимание, что некоторое ПО не нуждается в использовании криптографических механизмов.

    Достаточно для значка!

    Программное обеспечение, созданное проектом, ОБЯЗАНО использовать по умолчанию только публикуемые криптографические протоколы и алгоритмы, которые анализируются экспертами (если используются криптографические протоколы и алгоритмы). [crypto_published]

    The software uses https and standard crypto protocols to communicate with both users and with code repositories


    Достаточно для значка!

    Если программное обеспечение, создаваемое проектом, является приложением или библиотекой, и его основной целью является не внедрение криптографии, тогда для реализации криптографических функций СЛЕДУЕТ обращаться к программному обеспечению, специально предназначенному для этого; НЕ СЛЕДУЕТ повторно реализовывать свои собственные функции. [crypto_call]

    No crypto functions are re-implemented by Threat Dragon


    Достаточно для значка!

    Вся функциональность программного обеспечения, создаваемого проектом, которая зависит от криптографии, ОБЯЗАНА быть реализована с использованием свободного ПО. [crypto_floss]

    Threat Dragon only uses FLOSS, for crypto and other functionality


    Достаточно для значка!

    Механизмы безопасности в программном обеспечении, создаваемом проектом, ОБЯЗАНЫ использовать стандартные длины криптографических ключей, которые, по крайней мере, соответствуют минимальным требованиям NIST до 2030 года (как указано в 2012 году). Проект ОБЯЗАН предоставлять возможность настройки ПО таким образом, чтобы уменьшенные длины ключей были полностью отключены. [crypto_keylength]

    while smaller key lengths are not disabled, it is suggested i the documentation that the symmetric keys are have a key length of 128 bits using: openssl rand -hex 16


    Достаточно для значка!

    Механизмы безопасности по умолчанию в программном обеспечении, создаваемом проектом, НЕДОПУСТИМО делать зависимыми от взломанных криптографических алгоритмов (например, MD4, MD5, single DES, RC4, Dual_EC_DRBG) или использовать режимы шифрования, которые не подходят для контекста, если только они не требуются для интероперабельности протокола (поддерживающего самую новую версию стандарта на этот протокол, широко распространенного в сетевой экосистеме, причем эта экосистема требует использования данного алгоритма или режима, не предлагая более безопасных альтернатив). В документации НЕОБХОДИМО описать все связанные с этим риски безопасности и все известные способы смягчения рисков, если данные алгоритмы или режимы действительно нужны для совместимости с другими реализациями этого протокола. [crypto_working]

    Threat Dragon uses OAuth for its identity and access management to the repository


    Достаточно для значка!

    Механизмы безопасности по умолчанию в программном обеспечении, создаваемом проектом, НЕ СЛЕДУЕТ делать зависимыми от криптографических алгоритмов или режимов с известными серьезными слабостями (например, криптографический алгоритм хеширования SHA-1 или режим CBC в SSH). [crypto_weaknesses]

    No cryptographic algorithms or modes with known serious weaknesses are used


    Достаточно для значка!

    В механизмах безопасности в программном обеспечении, создаваемом проектом, СЛЕДУЕТ реализовать совершенную прямую секретность для протоколов соглашений о ключах, чтобы ключ сеанса, произведенный из набора долгосрочных ключей, не мог быть скомпрометирован, если один из долгосрочных ключей скомпрометирован в будущем. [crypto_pfs]

    this is provided by the crypto in the standard libraries used by Threat Dragon in addition nothing in the code inhibits or prevents the use of PFS; that is a property of the website's web server.


    Достаточно для значка!

    Если ПО, создаваемое проектом, требует хранить пароли для аутентификации внешних пользователей, НЕОБХОДИМО хранить пароли как итерированные хеши с солью для каждого пользователя с использованием алгоритма (итерированного) растяжения ключа (например, PBKDF2, Bcrypt или Scrypt). См. также: OWASP Password Storage Cheat Sheet (на англ.). [crypto_password_storage]

    The software does not store passwords for authentication of external users


    Достаточно для значка!

    Механизмы безопасности в программном обеспечении, создаваемом проектом, ОБЯЗАНЫ генерировать все криптографические ключи и временные значения с использованием криптографически безопасного генератора случайных чисел; НЕДОПУСТИМО делать это с использованием генераторов, которые криптографически небезопасны. [crypto_random]

    cryptographic keys and nonces are generated using npm modules such as the one providing the Content Security Policy


  • Доставка, защищенная от атак посредника (MITM)


    Достаточно для значка!

    Проект ОБЯЗАН использовать механизм доставки, устойчивый против атак посредника (MITM). Приемлемо использование https или ssh + scp. [delivery_mitm]

    Threat Dragon uses https


    Достаточно для значка!

    НЕДОПУСТИМО получать криптографические контрольные суммы (например, sha1sum) по HTTP и использовать их без проверки криптографической подписи. [delivery_unsigned]

    http is not used by Threat Dragon unless it is in a non-production environment


  • Исправление обнародованных уязвимостей


    Достаточно для значка!

    НЕДОПУСТИМО оставлять незакрытыми уязвимости со степенью серьезности средней или выше, опубликованные более 60 дней назад. [vulnerabilities_fixed_60_days]

    Any vulnerabilities of medium or higher severity are reported by dependabot and are fixed easily within 60 days : https://github.com/OWASP/threat-dragon/pulls?q=is%3Apr+is%3Aclosed+label%3Aautomation


    Достаточно для значка!

    Проектам СЛЕДУЕТ оперативно исправлять критические уязвимости после сообщения о них. [vulnerabilities_critical_fixed]

    Any critical vulnerabilities are reported by dependabot and are fixed rapidly : https://github.com/OWASP/threat-dragon/pulls?q=is%3Apr+is%3Aclosed+label%3Aautomation


  • Другие вопросы безопасности


    Достаточно для значка!

    НЕДОПУСТИМА утечка действующих частных учетных данных (например, рабочий пароль или закрытый ключ), предназначенных для ограничения общего доступа, из публичных репозиториев. [no_leaked_credentials]

    No valid private credentials are leaked. There is a .env file, but it only includes stub data for testing, not the live credentials


  • Статический анализ кода


    Достаточно для значка!

    НЕОБХОДИМО применять по крайней мере, один инструмент анализа статического кода (помимо предупреждений компилятора и "безопасных" режимов языка) к любой предлагаемой основной версии создаваемого ПО до ее выпуска, если есть хотя бы один инструмент на свободном ПО, который реализует этот критерий на выбранном языке. [static_analysis]

    CodeQL static code analysis is applied on pull-request, on commit to main branch and also in the nightly pipelines


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО включать по крайней мере в один из инструментов статического анализа, используемых для критерия static_analysis, правила или подходы для поиска распространенных уязвимостей в анализируемом языке или среде. [static_analysis_common_vulnerabilities]

    CodeQL static code analysis include rules to look for common vulnerabilities in Javascript


    Достаточно для значка!

    Все уязвимости со средней и высокой степенью серьезности, обнаруженные при статическом анализе кода, НЕОБХОДИМО своевременно исправлять после их подтверждения. [static_analysis_fixed]

    If CodeQL detects medium and higher severity exploitable vulnerabilities then this stage of the pipeline will fail, requiring that hey be fixed before the pipeline can pass


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО выполнять анализ статического исходного кода при каждом коммите или по крайней мере ежедневно. [static_analysis_often]

    CodeQL static code analysis is applied in the nightly pipelines, as well as on pull-request and on commit to main branch


  • Динамический анализ кода


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО применять по крайней мере один инструмент динамического анализа к любой предлагаемой основной (major) версии программного обеспечения перед ее выпуском . [dynamic_analysis]

    Threat Dragon is analysed by OWASP ZAP on pull-request and also on commits to the main branch, using github workflow pipelines : https://github.com/OWASP/threat-dragon/actions


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО регулярно использовать по меньшей мере один динамический инструмент (например, fuzzer или сканер веб-приложения) в сочетании с механизмом для обнаружения проблем безопасности памяти, таких как перезапись буфера, если программное обеспечение, создаваемое проектом, включает части, написанные на небезопасном языке (например, C или C++). Если проект не создает программное обеспечение, написанное на небезопасном языке, выберите «неприменимо» (N/A). [dynamic_analysis_unsafe]

    Application written using Javascript, with no C/C++ source or any other memory-unsafe language used within the project


    Достаточно для значка!

    ЖЕЛАТЕЛЬНО включать в ПО, создаваемое проектом, достаточно много утверждений (assertions) времени выполнения, проверяемых при динамическом анализе. Во многих случаях эти утверждения не должны попадать в сборки под эксплуатацию (production). [dynamic_analysis_enable_assertions]

    No assertions are embedded in the Treat Dragon code, as this is not a generally used feature of Javascript


    Достаточно для значка!

    Проект ОБЯЗАН своевременно исправлять все уязвимости средней и выше степени серьезности, обнаруженные при динамическом анализе кода, после их подтверждения. [dynamic_analysis_fixed]

    Any issues found via OWASP ZAP have been fixed, with some rules put on an ignore list because they are not relevant: https://github.com/OWASP/threat-dragon/blob/main/.github/workflows/.zap-rules-web.tsv



This data is available under the Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0). This means that a Data Recipient may share the Data, with or without modifications, so long as the Data Recipient makes available the text of this agreement with the shared Data. Please credit Jon Gadsden and the OpenSSF Best Practices badge contributors.

Владелец анкеты на значок проекта: Jon Gadsden.
2024-07-29 19:20:57 UTC, последнее изменение сделано 2025-03-08 22:18:07 UTC. Последний раз условия для получения значка были выполнены 2025-03-08 22:18:07 UTC.

Назад