Skip to content
Apothem
सुरक्षा

OpenSSF Scorecard मुद्रा

Apothem का OpenSSF Scorecard लक्ष्य और स्कोर को निरंतर बेहतर बनाए रखने के लिए उपयोग की जाने वाली साक्ष्य सतहें।

Apothem अधिकतम OpenSSF Scorecard स्कोर का लक्ष्य रखता है, साथ ही सार्वजनिक मुखौटे को इस बारे में ईमानदार रखता है कि एक नए एकल-अनुरक्षक रिपॉज़िटरी से Scorecard क्या अनुमान लगा सकता है और क्या नहीं। यह दस्तावेज़ प्रत्येक जाँच, उसे समर्थन देने वाली साक्ष्य सतह, और मुद्रा को अद्यतन रखने वाले नियंत्रण को सूचीबद्ध करता है।

लाइव स्कोर Scorecard व्यूअर पर है; बैज README हेडर में है।

प्रति-जाँच साक्ष्य मैट्रिक्स

जाँचसाक्ष्य सतहटिप्पणियाँ
Binary-Artifactsbinary-artifacts-sweep.mdस्रोत में कोई निष्पादन-योग्य बाइनरी ट्रैक नहीं की जाती; उत्पन्न वितरण अभिलेखागार dist/ में रहते हैं।
Branch-Protectionbranch-protection-ruleset.mdmain सार्वजनिक रिलीज़ पदोन्नति से पहले संरक्षित है; नया रिलीज़ कमिट उतरने के बाद फ़ोर्स-पुश और विलोपन अवरुद्ध हो जाते हैं।
CI-Tests.github/workflows/ci.ymlPytest मैट्रिक्स, ruff, mypy, CodeQL, Trivy, दस्तावेज़ बिल्ड, और पैकेजिंग स्मोक जाँच।
CII-Best-PracticesOpenSSF Best Practices पंजीकरणOpenSSF Best Practices साइट पर अनुरक्षक-पक्ष पंजीकरण आवश्यक है; इसे केवल रिपॉज़िटरी फ़ाइलों से पूरा नहीं किया जा सकता।
Code-Reviewब्रांच सुरक्षा + CODEOWNERSभविष्य के पुल रिक्वेस्ट के लिए लागू; समीक्षित PR के अस्तित्व में आने तक Scorecard इतिहास सीमित रहता है।
ContributorsAUTHORSएक नई एकल-अनुरक्षक परियोजना बहु-संगठन योगदान इतिहास गढ़ नहीं सकती; जैसे-जैसे योगदानकर्ता जुड़ते हैं यह स्वाभाविक रूप से बेहतर होता है।
Dangerous-Workflowवर्कफ़्लो ऑडिटकोई pull_request_target नहीं; Actions SHA-पिन की गई हैं और स्पष्ट अनुमतियों के साथ दायरे में बँधी हैं।
Dependency-Update-Toolrenovate.jsonRenovate, GitHub Actions, Python मैनिफ़ेस्ट, हैश-लॉक की गई रिलीज़ आवश्यकताओं, और npm सतहों को कवर करता है, साथ ही समूहीकृत निर्भरता PR उपलब्ध रखता है।
Fuzzingtests/property/Hypothesis प्रॉपर्टी परीक्षण पार्सर और frontmatter अपरिवर्तनीयताओं को परखते हैं; अपस्ट्रीम Scorecard, Hypothesis को फ़ज़िंग एकीकरण के रूप में श्रेय नहीं दे सकता।
LicenseLICENSEरिपॉज़िटरी रूट पर MIT लाइसेंस।
MaintainedGit इतिहासवर्तमान रिलीज़ कमिट और सक्रिय वर्कफ़्लो लय अनुरक्षण को प्रदर्शित करती है; बहुत नई रिपॉज़िटरी को आयु चेतावनी मिल सकती है।
Packaging.github/workflows/sdist, wheel, SBOM, SLSA उद्भव, और Sigstore हस्ताक्षर उत्पन्न करने वाले Release, Pages, और npmjs.com वर्कफ़्लो।
Pinned-Dependenciesवर्कफ़्लो ऑडिट + हैश-लॉक आवश्यकताएँActions SHA-पिन की गई हैं; रिलीज़ टूलिंग इंस्टॉल --require-hashes का उपयोग करते हैं; केवल-वर्कफ़्लो pip टूल सटीक पिन का उपयोग करते हैं।
SAST.github/workflows/codeql.ymlPython और Actions में CodeQL की security-extended क्वेरियाँ।
Security-PolicySECURITY.mdसमन्वित-प्रकटीकरण नीति, समर्थित-संस्करण मैट्रिक्स, और प्रतिक्रिया समयरेखा।
Signed-Releases.github/workflows/release.ymlSigstore कुंजी-रहित हस्ताक्षर, SLSA उद्भव, SBOM, चेकसम, और रिलीज़ कलाकृतियाँ।
Token-Permissionsवर्कफ़्लो ऑडिटवर्कफ़्लो डिफ़ॉल्ट रूप से केवल-पठन अनुमतियों का उपयोग करते हैं; लेखन दायरे जॉब-स्थानीय हैं और परिनियोजन/पैकेजिंग संचालन से बँधे हैं।
Vulnerabilities.github/workflows/pip-audit.yml + .github/workflows/dependency-review.ymlसाप्ताहिक भेद्यता स्कैन और SARIF अपलोड के साथ CI स्कैन; dependency-review गेट उन पुल रिक्वेस्ट को अवरुद्ध करता है जो भेद्य या अननुमत-लाइसेंस निर्भरताएँ पेश करती हैं।

स्कोर व्याख्या

Scorecard प्रत्येक जाँच को 0-10 पैमाने पर अंक देता है और समग्र स्कोर एक भारित औसत है। रिपॉज़िटरी इतिहास, तृतीय-पक्ष पंजीकरण, या योगदानकर्ता विविधता पर निर्भर नियंत्रण को अधिक-दावा करने के बजाय स्पष्ट रूप से ट्रैक किया जाता है। किसी भी फ़ाइल-नियंत्रित जाँच पर बहाव तत्काल उपचार को ट्रिगर करता है।

ताज़गी लय

  • प्रति-पुश: Scorecard वर्कफ़्लो main पर प्रत्येक पुश पर पुनः चलता है।
  • साप्ताहिक: सोमवार 02:30 UTC — अपस्ट्रीम-स्कोरिंग पद्धति में परिवर्तन + मौजूदा पिन की गई निर्भरताओं के विरुद्ध नई प्रकट भेद्यताओं को पकड़ता है।
  • प्रति-रिलीज़: सार्वजनिक पदोन्नति से पहले, अनुरक्षक लाइव Scorecard व्यूअर सतह को सत्यापित करता है और किसी भी प्लेटफ़ॉर्म-स्थिति सीमा को दर्ज करता है।

संदर्भ

On this page