Skip to content
Apothem
Sicherheit

OpenSSF-Scorecard-Haltung

Apothems OpenSSF-Scorecard-Ziel und die Nachweisoberflächen, die genutzt werden, um die Bewertung kontinuierlich zu verbessern.

Apothem strebt die maximale OpenSSF-Scorecard-Bewertung an und hält dabei die öffentliche Fassade ehrlich darüber, was Scorecard aus einem neuen Repository mit einzelnem Betreuer ableiten kann und was nicht. Dieses Dokument zählt jede Prüfung auf, die Nachweisoberfläche, die sie untermauert, sowie die Kontrolle, die die Haltung aktuell hält.

Die Live-Bewertung steht im Scorecard-Viewer; das Abzeichen befindet sich im README-Kopf.

Nachweismatrix je Prüfung

PrüfungNachweisoberflächeHinweise
Binary-Artifactsbinary-artifacts-sweep.mdKeine ausführbaren Binärdateien werden im Quellcode verfolgt; generierte Distributionsarchive verbleiben in dist/.
Branch-Protectionbranch-protection-ruleset.mdmain ist vor der Beförderung zu einer öffentlichen Veröffentlichung geschützt; Force-Pushes und Löschungen werden blockiert, nachdem der Commit der neuen Veröffentlichung gelandet ist.
CI-Tests.github/workflows/ci.ymlPytest-Matrix, ruff, mypy, CodeQL, Trivy, Doku-Build und Packaging-Smoke-Checks.
CII-Best-PracticesOpenSSF-Best-Practices-RegistrierungErfordert eine Registrierung seitens des Betreuers auf der OpenSSF-Best-Practices-Website; dies lässt sich nicht allein durch Repository-Dateien erledigen.
Code-ReviewBranch-Schutz + CODEOWNERSFür künftige Pull Requests erzwungen; der Scorecard-Verlauf bleibt begrenzt, bis überprüfte PRs existieren.
ContributorsAUTHORSEin neues Projekt mit einzelnem Betreuer kann keinen organisationsübergreifenden Beitragsverlauf fabrizieren; dies verbessert sich natürlich, sobald Mitwirkende hinzukommen.
Dangerous-WorkflowWorkflow-AuditKein pull_request_target; Actions sind per SHA gepinnt und mit expliziten Berechtigungen eingegrenzt.
Dependency-Update-Toolrenovate.jsonRenovate deckt GitHub Actions, Python-Manifeste, hash-verriegelte Veröffentlichungsanforderungen und npm-Oberflächen ab und hält dabei gruppierte Abhängigkeits-PRs verfügbar.
Fuzzingtests/property/Hypothesis-Eigenschaftstests prüfen die Invarianten des Parsers und des Frontmatters; die vorgelagerte Scorecard erkennt Hypothesis möglicherweise nicht als Fuzzing-Integration an.
LicenseLICENSEMIT-Lizenz im Repository-Wurzelverzeichnis.
MaintainedGit-VerlaufDer Commit der aktuellen Veröffentlichung und die aktive Workflow-Kadenz belegen die Wartung; sehr neue Repositorys erhalten möglicherweise eine Altershinweis-Warnung.
Packaging.github/workflows/Release-, Pages- und npmjs.com-Workflows, die das sdist, das Wheel, die SBOM, die SLSA-Provenienz und die Sigstore-Signaturen erzeugen.
Pinned-DependenciesWorkflow-Audit + hash-verriegelte AnforderungenActions sind per SHA gepinnt; Installationen der Veröffentlichungswerkzeuge nutzen --require-hashes; nur in Workflows verwendete pip-Werkzeuge nutzen exakte Pins.
SAST.github/workflows/codeql.ymlsecurity-extended-Abfragen von CodeQL über Python und Actions.
Security-PolicySECURITY.mdRichtlinie zur koordinierten Offenlegung, Matrix der unterstützten Versionen und Reaktionszeitplan.
Signed-Releases.github/workflows/release.ymlSchlüssellose Sigstore-Signaturen, SLSA-Provenienz, SBOM, Prüfsummen und Veröffentlichungsartefakte.
Token-PermissionsWorkflow-AuditWorkflows nutzen standardmäßig schreibgeschützte Berechtigungen; Schreibbereiche sind job-lokal und an Bereitstellungs-/Packaging-Operationen gebunden.
Vulnerabilities.github/workflows/pip-audit.yml + .github/workflows/dependency-review.ymlWöchentlicher Schwachstellen-Scan und CI-Scan mit SARIF-Upload; das Dependency-Review-Gate blockiert Pull Requests, die verwundbare oder mit unzulässigen Lizenzen versehene Abhängigkeiten einführen.

Bewertungsinterpretation

Scorecard bewertet jede Prüfung auf einer Skala von 0 bis 10, und die Gesamtbewertung ist ein gewichteter Mittelwert. Kontrollen, die vom Repository-Verlauf, von einer Drittregistrierung oder von der Vielfalt der Mitwirkenden abhängen, werden explizit verfolgt statt überbeansprucht. Eine Drift bei einer dateigesteuerten Prüfung löst sofortige Behebung aus.

Aktualisierungskadenz

  • Pro Push: Der Scorecard-Workflow läuft bei jedem Push auf main erneut.
  • Wöchentlich: Montags um 02:30 UTC — erfasst Änderungen in der vorgelagerten Bewertungsmethodik + neu offengelegte Schwachstellen gegen bestehende gepinnte Abhängigkeiten.
  • Pro Veröffentlichung: Vor der öffentlichen Beförderung verifiziert der Betreuer die Live-Scorecard-Viewer-Oberfläche und vermerkt etwaige Plattformzustands-Limits.

Referenzen

On this page