Critères des meilleures pratiques FLOSS (tous les niveaux)

Il s'agit de l'ensemble des meilleures pratiques pour les projets de logiciels libres et open source (FLOSS) pour obtenir les badges des meilleures pratiques de la Open Source Security Foundation (OpenSSF) aux niveaux basique, argent et or. Vous pouvez afficher cette liste avec uniquement les critères ou avec des informations supplémentaires. Vous pouvez également afficher uniquement les critères du niveau basique , argent et or, ainsi que les statistiques des critères.

Voir la discussion des critères pour plus d'informations sur ces critères.

Basique

Notions de base

Contenu basique du site Web du projet

• Le site du projet DOIT décrire succinctement ce que le logiciel fait (quel problème résout-il ?). ^{[description_good]}
• Le site Web du projet DOIT fournir des informations sur la façon d'obtenir, de fournir des commentaires (comme des signalements de bogues ou des demandes d'amélioration) et de contribuer au logiciel. ^[interact]
• L'information sur la façon de contribuer DOIT expliquer le processus de contribution (par exemple, les pull requests sont-ils utilisés ?) {Atteint URL} ^{[contribution]}
• Les informations sur la façon de contribuer DEVRAIENT inclure les exigences pour des contributions acceptables (par exemple, une référence à toute norme de codage requise). {Atteint URL} ^{[contribution_requirements]}

Licence FLOSS

• Le logiciel produit par le projet DOIT être distribué en tant que FLOSS. ^{[floss_license]}
• Il est PROPOSÉ que toute licence requise pour le logiciel produit par le projet soit approuvée par l'Open Source Initiative (OSI). ^{[floss_license_osi]}
• Le projet DOIT afficher la ou les licences de ses résultats dans un emplacement standard dans leur dépôt source. {Atteint URL} ^{[license_location]}

Documentation

• Le projet DOIT fournir une documentation de base pour le logiciel produit par le projet. {N/A justification} ^{[documentation_basics]}
• Le projet DOIT fournir une documentation de référence qui décrit l'interface externe (entrée et sortie) du logiciel produit par le projet. {N/A justification} ^{[documentation_interface]}

Autre

• Les sites du projet (site Web, dépôt et URLs de téléchargement) DOIVENT supporter HTTPS en utilisant TLS. ^{[sites_https]}
• Le projet DOIT avoir un ou plusieurs mécanismes de discussion (y compris les changements et les problèmes proposés) qui peuvent être recherchés, permettent de désigner les messages et les sujets par une URL, permettent aux nouvelles personnes de participer à certaines des discussions et ne nécessitent pas d'installation côté client de logiciels propriétaires. ^[discussion]
• Le projet DEVRAIT fournir de la documentation en anglais et être en mesure d'accepter les signalements de bogues et les commentaires sur le code en anglais. ^[english]
• Le projet DOIT être maintenu. ^[maintained]

Contrôle des modifications

Dépôt source public sous contrôle de version

• Le projet DOIT avoir un dépôt source sous contrôle de version qui est publiquement lisible et possède une URL. ^{[repo_public]}
• Le dépôt source du projet DOIT suivre les changements apportés, qui a effectué les changements et quand les changements ont été effectués. ^[repo_track]
• Pour permettre une analyse collaborative, le dépôt source du projet DOIT inclure des versions provisoires pour examen entre versions officielles ; Il NE DOIT PAS inclure que les dernières versions. ^{[repo_interim]}
• Il est PROPOSÉ qu'un logiciel reconnu de contrôle de version distribué soit utilisé (par exemple, git) pour le dépôt source du projet. ^{[repo_distributed]}

Numérotation unique de la version

• Les résultats du projet DOIVENT avoir un identifiant de version unique pour chaque version destinée à être utilisée par les utilisateurs. ^{[version_unique]}
• Il est PROPOSÉ d'utiliser le format de numérotation de version appelé Versionage Sémantique (SemVer) ou Versionage Calendaire (CalVer). Il est PROPOSÉ que ceux qui utilisent CalVer incluent une valeur de niveau micro. ^{[version_semver]}
• Il est PROPOSÉ que les projets identifient chaque version dans leur système de contrôle de version. Par exemple, il est PROPOSÉ que ceux qui utilisent git identifient chaque version à l'aide des tags de git. ^{[version_tags]}

Notes de version

• Le projet DOIT fournir, avec chaque distribution, des notes de version qui sont un résumé lisible par les humains des changements majeurs dans cette version afin d'aider les utilisateurs à déterminer s'ils doivent se mettre à niveau et quel sera l'impact de la mise à niveau. Les notes de version NE DOIVENT PAS être la sortie brute d'un journal de contrôle de version (par exemple, les résultats de la commande « git log » ne sont pas des notes de version). Les projets dont les résultats ne sont pas destinés à être réutilisés dans plusieurs emplacements (tels que le logiciel pour un site Web ou un service unique) ET qui utilisent la livraison continue PEUVENT sélectionner « N/A ». {N/A justification} {Atteint URL} ^{[release_notes]}
• Les notes de version DOIVENT identifier toutes les vulnérabilités connues du public corrigées dans cette version qui avaient déjà une affectation CVE ou similaire lors de la création de la version. Ce critère peut être marqué comme non applicable (N/A) si les utilisateurs ne peuvent pas en général mettre à jour le logiciel eux-mêmes (par exemple, comme c'est souvent le cas pour les mises à jour du noyau). Ce critère s'applique uniquement aux résultats du projet, pas à ses dépendances. S'il n'y a pas de notes de version ou qu'il n'y a pas eu de vulnérabilité publiquement connue, choisissez N/A. {N/A justification} ^{[release_notes_vulns]}

Compte-rendu

Procédure de signalement des bogues

• Le projet DOIT fournir un processus permettant aux utilisateurs de soumettre des signalements de bogue (par exemple, en utilisant un suivi des problèmes ou une liste de diffusion). {Atteint URL} ^{[report_process]}
• Le projet DEVRAIT utiliser un suivi des problèmes pour le suivi des problèmes individuels. ^{[report_tracker]}
• Le projet DOIT confirmer une majorité des signalements de bogues soumis au cours des 2 à 12 derniers mois (inclus) ; la réponse ne doit pas nécessairement inclure une correction. ^{[report_responses]}
• Le projet DEVRAIT répondre à une majorité (>50%) des demandes d'amélioration au cours des 2 à 12 derniers mois (inclus). ^{[enhancement_responses]}
• Le projet DOIT avoir une archive publique pour les signalements et les réponses pour une recherche ultérieure. {Atteint URL} ^{[report_archive]}

Processus de signalement de vulnérabilité

• Le projet DOIT publier le processus de signalement des vulnérabilités sur le site du projet. {Atteint URL} ^{[vulnerability_report_process]}
• Si les signalements de vulnérabilités privés sont pris en charge, le projet DOIT inclure la façon d'envoyer l'information de manière confidentielle. {N/A autorisé} {Atteint URL} ^{[vulnerability_report_private]}
• Le temps de réponse initial du projet pour tout signalement de vulnérabilité reçu au cours des 6 derniers mois DOIT être inférieur ou égal à 14 jours. {N/A autorisé} ^{[vulnerability_report_response]}

Qualité

Système de construction opérationnel

• Si le logiciel produit par le projet nécessite d'être construit pour être utilisé, le projet DOIT fournir un système de construction fonctionnel qui peut reconstruire automatiquement le logiciel à partir du code source. {N/A autorisé} ^[build]
• Il est PROPOSÉ d'utiliser des outils courants pour la construction du logiciel. {N/A autorisé} ^{[build_common_tools]}
• Le projet DEVRAIT être constructible en utilisant uniquement des outils FLOSS. {N/A autorisé} ^{[build_floss_tools]}

Suite de tests automatisée

• Le projet DOIT utiliser au moins une suite de tests automatisée publiée publiquement comme FLOSS (cette suite de tests peut être maintenue sous la forme d'un projet FLOSS distinct). Le projet DOIT clairement montrer ou documenter comment exécuter la ou les suites de tests (par exemple, via un script d'intégration continue (CI) ou via la documentation dans des fichiers tels que BUILD.md, README.md ou CONTRIBUTING.md). ^[test]
• Une suite de tests DEVRAIT être invocable d'une manière standard pour ce langage. ^{[test_invocation]}
• Il est PROPOSÉ que la suite de tests couvre la plupart (ou idéalement toutes) les branches du code, les champs de saisie et les fonctionnalités. ^[test_most]
• Il est PROPOSÉ que le projet utilise une intégration continue (où le code nouveau ou modifié est fréquemment intégré dans un dépôt de code central et des tests automatisés sont exécutés sur le résultat). ^{[test_continuous_integration]}

Nouveau test de fonctionnalité

• Le projet DOIT avoir une politique générale (formelle ou non) qui spécifie que, dès qu'une nouvelle fonctionnalité majeure est ajoutée au logiciel produit par le projet, des tests de cette fonctionnalité devraient être ajoutés à une suite de tests automatisée. ^{[test_policy]}
• Le projet DOIT avoir la preuve que la politique de test pour l'ajout de tests a été respectée dans les dernières modifications majeures apportées au logiciel produit par le projet. ^{[tests_are_added]}
• Il est PROPOSÉ que cette politique sur l'ajout de tests (voir la politique de test) soit documentée dans les instructions pour les propositions de modification. ^{[tests_documented_added]}

Options d'avertissement

• Le projet DOIT activer une ou plusieurs options d'avertissement du compilateur, un mode du langage « sûr » ou utiliser un outil « linter » séparé pour rechercher des erreurs de qualité de code ou des erreurs simples courantes, s'il existe au moins un outil FLOSS qui peut implémenter ce critère dans le langage sélectionné. {N/A autorisé} ^[warnings]
• Le projet DOIT résoudre les avertissements. {N/A autorisé} ^{[warnings_fixed]}
• Il est PROPOSÉ que les projets soient maximalement stricts avec les avertissements dans le logiciel produit par le projet, quand cela est approprié. {N/A autorisé} ^{[warnings_strict]}

Sécurité

Connaissance du développement sécurisé

• Le projet DOIT avoir au moins un développeur principal qui sait comment concevoir un logiciel sécurisé. (Voir les « détails » pour les exigences exactes.) ^{[know_secure_design]}
• Au moins l'un des principaux développeurs du projet DOIT connaître les types courants d'erreurs qui conduisent à des vulnérabilités dans ce genre de logiciel, ainsi qu'au moins une méthode pour contrer ou atténuer chacun d'eux. ^{[know_common_errors]}

Utiliser de bonnes pratiques de base de cryptographie

• Le logiciel produit par le projet DOIT utiliser, par défaut, uniquement les protocoles cryptographiques et les algorithmes publiés publiquement et revus par des experts (si des protocoles et algorithmes cryptographiques sont utilisés). {N/A autorisé} ^{[crypto_published]}
• Si le logiciel produit par le projet est une application ou une bibliothèque, et si son objectif principal n'est pas d'implémenter de la cryptographie, alors il DEVRAIT simplement appeler un logiciel spécialement conçu pour implémenter des fonctions cryptographiques ; il ne DEVRAIT PAS ré-implémenter les siennes. {N/A autorisé} ^{[crypto_call]}
• Toutes les fonctionnalités du logiciel produit par le projet qui dépendent de la cryptographie DOIVENT être réalisables à l'aide de FLOSS. {N/A autorisé} ^{[crypto_floss]}
• Les mécanismes de sécurité dans le logiciel produit par le projet DOIVENT utiliser des longueurs de clés par défaut qui satisfont au moins aux exigences minimales du NIST jusqu'à l'année 2030 (comme indiqué en 2012). Il DOIT être possible de configurer le logiciel afin que les plus petites longueurs de clés soient complètement désactivées. {N/A autorisé} ^{[crypto_keylength]}
• Les mécanismes de sécurité par défaut dans le logiciel produit par le projet NE DOIVENT PAS dépendre d'algorithmes cryptographiques cassés (par exemple, MD4, MD5, DES unique, RC4, Dual_EC_DRBG) ou utiliser des modes de chiffrement inappropriés dans le contexte, sauf si ils sont nécessaires pour implémenter un protocole d'interopérabilité (où le protocole implémenté est la version la plus récente du standard supporté largement par l'écosystème du réseau, l'écosystème requiert l'utilisation de cet algorithme ou mode, et cet écosystème n'offre pas d'alternative plus sûre). La documentation DOIT décrire tous les risques de sécurité appropriés et les parades connues si ces algorithmes ou modes cassés sont nécessaires pour un protocole d'interopérabilité. {N/A autorisé} ^{[crypto_working]}
• Les mécanismes de sécurité par défaut dans le logiciel produit par le projet NE DEVRAIENT PAS dépendre d'algorithmes ou de modes cryptographiques avec des faiblesses sérieuses connues (par exemple, l'algorithme de hachage cryptographique SHA-1 ou le mode CBC en SSH). {N/A autorisé} ^{[crypto_weaknesses]}
• Les mécanismes de sécurité dans le logiciel produit par le projet DEVRAIENT implémenter la confidentialité persistante pour les protocoles d'échange de clés afin qu'une clé de session dérivée d'un ensemble de clés à long terme ne soit pas compromise si l'une des clés à long terme est compromise dans le futur. {N/A autorisé} ^[crypto_pfs]
• Si le logiciel produit par le projet entraîne la sauvegarde de mots de passe pour l'authentification d'utilisateurs externes, les mots de passe DOIVENT être sauvegardés comme hachages itérés avec un salage par utilisateur en utilisant un algorithme d'étirement de clé (itéré) (par exemple Argon2id, Bcrypt, Scrypt, ou PBKDF2). Voir également le pense-bête sur le stockage des clés d'OWASP. {N/A autorisé} ^{[crypto_password_storage]}
• Les mécanismes de sécurité dans le logiciel produit par le projet DOIVENT générer toutes les clés cryptographiques et les nonces en utilisant un générateur de nombres aléatoires cryptographiquement sécurisé, et NE DOIVENT PAS le faire en utilisant des générateurs qui ne seraient pas cryptographiquement sécurisés. {N/A autorisé} ^{[crypto_random]}

Livraison sécurisée contre les attaques man-in-the-middle (MITM)

• Le projet DOIT utiliser un mécanisme de livraison qui contrecarre les attaques MITM. L'utilisation de https ou ssh+scp est acceptable. ^{[delivery_mitm]}
• Un hachage cryptographique (par exemple, un sha1sum) NE DOIT PAS être récupéré par http et utilisé sans vérifier une signature cryptographique. ^{[delivery_unsigned]}

Vulnérabilités publiquement identifiées et corrigées

• Il ne DOIT pas y avoir de vulnérabilités non corrigées de gravité moyenne ou supérieure connues publiquement depuis plus de 60 jours. ^{[vulnerabilities_fixed_60_days]}
• Les projets DEVRAIENT corriger rapidement toutes les vulnérabilités critiques après leur signalement. ^{[vulnerabilities_critical_fixed]}

Autres problèmes de sécurité

• Les dépôts publics NE DOIVENT PAS fuiter un certificat privé valide (par exemple, un mot de passe ou une clé privée) qui est destiné à limiter l'accès public. ^{[no_leaked_credentials]}

Analyse

Analyse statique de code

• Au moins un outil d'analyse statique de code (au-delà des avertissements du compilateur et des modes « sûrs » des languages) DOIT être appliqué à toute distribution majeure proposée avant sa sortie s'il existe au moins un outil FLOSS qui implémente ce critère dans le langage sélectionné. {N/A justification} {Atteint justification} ^{[static_analysis]}
• Il est PROPOSÉ qu'au moins l'un des outils d'analyse statique utilisés pour le critère d'analyse statique inclue des règles ou des approches pour rechercher des vulnérabilités courantes dans le langage ou l'environnement analysé. {N/A autorisé} ^{[static_analysis_common_vulnerabilities]}
• Toutes les vulnérabilités exploitables de gravité moyenne ou plus découvertes avec une analyse statique de code DOIVENT être corrigées en temps approprié après leur confirmation. {N/A autorisé} ^{[static_analysis_fixed]}
• Il est PROPOSÉ que l'analyse statique du code source se produise à chaque commit ou au moins quotidiennement. {N/A autorisé} ^{[static_analysis_often]}

Analyse dynamique de code

• Il est PROPOSÉ qu'au moins un outil d'analyse dynamique soit appliqué à tout candidat pour une version majeure du logiciel avant sa distribution. ^{[dynamic_analysis]}
• Il est PROPOSÉ que, si le logiciel produit par le projet comprend un logiciel écrit à l'aide d'un langage non sûr pour les accès mémoire (par exemple, C ou C ++), au moins un outil dynamique (par exemple, un fuzzer ou un scanner d'application Web) soit utilisé de façon routinière en combinaison avec un mécanisme pour détecter des problèmes de sécurité mémoire tels que les dépassements de zone mémoire. Si le projet ne produit pas de logiciel écrit dans un langage non sûr pour les accès mémoire, choisissez « non applicable » (N/A). {N/A autorisé} ^{[dynamic_analysis_unsafe]}
• Il est PROPOSÉ que le projet utilise une configuration pour au moins une analyse dynamique (comme le test ou le fuzzing) qui active de nombreuses assertions. Dans de nombreux cas, ces assertions ne doivent pas être activées dans les versions de production. ^{[dynamic_analysis_enable_assertions]}
• Toutes les vulnérabilités exploitables de gravité moyenne ou plus découvertes avec une analyse de code dynamique DOIVENT être corrigées en un temps approprié après leur confirmation. {N/A autorisé} ^{[dynamic_analysis_fixed]}

Argent

Notions de base

Conditions préalables

• Le projet DOIT atteindre un badge de niveau basique. ^{[achieve_passing]}

Contenu basique du site Web du projet

• Les informations sur la façon de contribuer DOIVENT inclure les exigences pour des contributions acceptables (par exemple, une référence à toute règle de codage requise). {Atteint URL} ^{[contribution_requirements]}

Supervision du projet

• Le projet DEVRAIT avoir un mécanisme juridique par lequel tous les développeurs de quantités non triviales de logiciel du projet affirment qu'ils sont légalement autorisés à effectuer ces contributions. L'approche la plus commune et facilement mise en œuvre pour ce faire est d'utiliser un Certificat d'origine du développeur (DCO), où les utilisateurs ajoutent une information « sign-off-by » dans leurs commits et le projet pointe vers le site Web du DCO. Cependant, cela PEUT être mis en œuvre en tant que contrat de licence de contributeur (CLA), ou tout autre mécanisme juridique. {Atteint URL} ^[dco]
• Le projet DOIT définir et documenter clairement son modèle de gouvernance de projet (la façon dont il prend ses décisions, y compris les rôles clés). {Atteint URL} ^[governance]
• Le projet DOIT adopter un code de conduite et le publier dans un lieu standard. {Atteint URL} ^{[code_of_conduct]}
• Le projet DOIT clairement définir et documenter publiquement les rôles clés dans le projet et leurs responsabilités, y compris les tâches que ces rôles doivent accomplir. Il DOIT être clairement exprimé qui a quel(s) rôle(s), mais cela pourrait ne pas être documenté de la même manière. {Atteint URL} ^{[roles_responsibilities]}
• Le projet DOIT pouvoir continuer avec une interruption minimale si une personne décède, est invalidée ou ne peut/veut plus continuer à maintenir le projet. En particulier, le projet DOIT être en mesure de créer et de fermer des problèmes, d'accepter les modifications proposées et de publier des versions du logiciel, dans un délai d'une semaine après confirmation du retrait d'un individu du projet. Cela PEUT être fait en s'assurant que quelqu'un d'autre possède les clés, les mots de passe et les droits juridiques nécessaires pour poursuivre le projet. Les personnes qui exécutent un projet FLOSS PEUVENT faire cela en fournissant des clés dans un coffre-fort et un testament fournissant les droits légaux nécessaires (par exemple, pour les noms DNS). {Atteint URL} ^{[access_continuity]}
• Le projet DEVRAIT avoir un « bus factor » de 2 ou plus. {Atteint URL} ^[bus_factor]

Documentation

• Le projet DOIT avoir une feuille de route documentée qui décrit ce que le projet a l'intention de faire et ne pas faire pour au moins l'année suivante. {Atteint URL} ^{[documentation_roadmap]}
• Le projet DOIT inclure la documentation de l'architecture (aussi appelée conception de haut niveau) du logiciel produit par le projet. Si le projet ne produit pas de logiciel, sélectionnez « non applicable » (N/A). {N/A justification} {Atteint URL} ^{[documentation_architecture]}
• Le projet DOIT documenter ce à quoi l'utilisateur peut et ne peut pas s'attendre en termes de sécurité à partir du logiciel produit par le projet (ses « exigences de sécurité »). {N/A autorisé} {Atteint URL} ^{[documentation_security]}
• Le projet DOIT fournir un guide de « démarrage rapide » pour les nouveaux utilisateurs afin de les aider à faire rapidement quelque chose avec le logiciel. {N/A justification} {Atteint URL} ^{[documentation_quick_start]}
• Le projet DOIT faire un effort pour maintenir la documentation conforme à la version actuelle des résultats du projet (y compris les logiciels produits par le projet). Tous les défauts de la documentation connus la rendant incohérente DOIVENT être corrigés. Si la documentation est généralement à jour, mais inclut de manière erronée certaines informations antérieures qui ne sont plus vraies, considérez cela comme un défaut, puis faites le suivi et corrigez comme d'habitude. {N/A justification} {Atteint justification} ^{[documentation_current]}
• La page d'accueil et/ou le site Web du dépôt du projet DOIVENT identifier et pointer tous les accomplissements, y compris ce badge sur les meilleures pratiques, dans les 48 heures suivant la reconnaissance publique que l'accomplissement a été atteint. {Atteint URL} ^{[documentation_achievements]}

Accessibilité et internationalisation

• Le projet (à la fois les sites du projet et les résultats du projet) DEVRAIT suivre les meilleures pratiques d'accessibilité afin que les personnes handicapées puissent encore participer au projet et utiliser les résultats du projet où il est raisonnable de le faire. {N/A justification} {Atteint justification} ^{[accessibility_best_practices]}
• Le logiciel produit par le projet DEVRAIT être internationalisé pour permettre une localisation facile pour la culture, la région ou la langue du public cible. Si l'internationalisation (i18n) ne s'applique pas (par exemple, le logiciel ne génère pas de texte destiné aux utilisateurs finaux et ne trie pas de texte lisible par les humains), sélectionnez « non applicable » (N/A). {N/A justification} {Atteint justification} ^{[internationalization]}

Autre

• Si les sites du projet (site Web, dépôt et URL de téléchargement) entreposent des mots de passe pour l'authentification d'utilisateurs externes, les mots de passe DOIVENT être entreposés comme hachages itérés avec salage par utilisateur en utilisant un algorithme d'étirement des clés (itéré) (par exemple, Argon2id, Bcrypt, Scrypt, ou PBKDF2). Si les sites du projet n'entreposent pas de mots de passe à cette fin, sélectionnez « non applicable » (N/A). {N/A justification} {Atteint justification} ^{[sites_password_security]}

Contrôle des modifications

Versions précédentes

• Le projet DOIT maintenir les anciennes versions les plus utilisées du produit ou fournir un chemin de mise à niveau vers des versions plus récentes. Si le chemin de mise à niveau est difficile, le projet DOIT documenter comment effectuer la mise à niveau (par exemple, les interfaces qui ont changé et une suggestion d'étapes détaillées pour aider la mise à niveau). {N/A justification} {Atteint justification} ^{[maintenance_or_update]}

Compte-rendu

Procédure de signalement des bogues

• Le projet DOIT utiliser un suivi des problèmes pour le suivi des problèmes individuels. {N/A justification} {Atteint justification} ^{[report_tracker]}

Processus de signalement de vulnérabilité

• Le projet DOIT créditer les auteurs de tous les signalements de vulnérabilité résolus au cours des 12 derniers mois, à l'exception des auteurs qui demandent l'anonymat. S'il n'y a pas eu de vulnérabilité résolue au cours des 12 derniers mois, sélectionnez « non applicable » (N/A). {N/A justification} {Atteint URL} ^{[vulnerability_report_credit]}
• Le projet DOIT avoir un processus documenté pour répondre aux signalements de vulnérabilité. {Atteint URL} ^{[vulnerability_response_process]}

Qualité

Normes de codage

• Le projet DOIT identifier les guides de style de codage spécifiques pour les langages principaux qu'il utilise, et exiger que les contributions le respectent en général. {N/A justification} {Atteint URL} ^{[coding_standards]}
• Le projet DOIT imposer automatiquement son ou ses styles de codage sélectionnés s'il existe au moins un outil FLOSS qui peut le faire dans le(s) langage(s) sélectionné(s). {N/A justification} {Atteint justification} ^{[coding_standards_enforced]}

Système de construction opérationnel

• Les systèmes de construction pour les binaires natifs DOIVENT honorer les variables (d'environnement) pertinentes du compilateur et du lieur qui leur sont transmises (par exemple, CC, CFLAGS, CXX, CXXFLAGS et LDFLAGS) et les transmettre aux invocations du compilateur et du lieur. Un système de construction PEUT les étendre avec des options supplémentaires ; il NE DOIT PAS simplement remplacer les valeurs fournies par les siennes. Si aucun fichier binaire natif n'est généré, sélectionnez « non applicable » (N/A). {N/A justification} {Atteint justification} ^{[build_standard_variables]}
• Le système de construction et d'installation DEVRAIT préserver les informations de débogage si elles sont demandées dans les options correspondants (par exemple, « install -s » n'est pas utilisé). S'il n'y a pas de système de construction ou d'installation (par exemple, les bibliothèques JavaScript typiques), sélectionnez « non applicable » (N/A). {N/A justification} {Atteint justification} ^{[build_preserve_debug]}
• Le système de construction pour le logiciel produit par le projet NE DOIT PAS reconstruire de manière récursive des sous-répertoires s'il existe des dépendances croisées dans les sous-répertoires. S'il n'y a pas de système de construction ou d'installation (par exemple, les bibliothèques JavaScript typiques), sélectionnez « non applicable » (N/A). {N/A justification} {Atteint justification} ^{[build_non_recursive]}
• Le projet DOIT pouvoir répéter le processus de génération d'informations à partir de fichiers source et obtenir exactement le même résultat bit-à-bit. Si aucune construction ne se produit (par exemple, dans les langages de script où le code source est utilisé directement au lieu d'être compilé), sélectionnez « non applicable » (N/A). {N/A justification} {Atteint justification} ^{[build_repeatable]}

Système d'installation

• Le projet DOIT fournir un moyen d'installer et de désinstaller facilement le logiciel produit par le projet en utilisant une convention couramment utilisée. {N/A justification} {Atteint justification} ^{[installation_common]}
• Le système d'installation pour les utilisateurs finaux DOIT honorer les conventions standard pour sélectionner l'emplacement où les artefacts construits sont écrits au moment de l'installation. Par exemple, s'il installe des fichiers sur un système POSIX, il DOIT honorer la variable d'environnement DESTDIR. S'il n'y a pas de système d'installation ou pas de convention standard, sélectionnez « non applicable » (N/A). {N/A justification} {Atteint justification} ^{[installation_standard_variables]}
• Le projet DOIT fournir un moyen pour les développeurs potentiels d'installer rapidement tous les résultats du projet ainsi que l'environnement nécessaire pour apporter des modifications, y compris les tests et l'environnement de test. Cela DOIT être effectué avec une convention couramment utilisée. {N/A justification} {Atteint justification} ^{[installation_development_quick]}

Composants maintenus à l'extérieur

• Le projet DOIT afficher ses dépendances externes de manière analysable par ordinateur. {N/A justification} {Atteint URL} ^{[external_dependencies]}
• Les projets DOIVENT surveiller ou vérifier périodiquement leurs dépendances externes (y compris les copies de commodité) pour détecter les vulnérabilités connues, et corriger les vulnérabilités exploitables ou les vérifier comme inexploitables. {N/A justification} {Atteint justification} ^{[dependency_monitoring]}
• Le projet DOIT :
  1. rendre facile l'identification et la mise à jour des composants maintenus extérieurement au projet ; ou
  2. utiliser des composants standards fournis par le système ou le langage de programmation.
  Ensuite, si une vulnérabilité se trouve dans un composant réutilisé, il sera facile de mettre à jour ce composant. {N/A justification} {Atteint justification} ^{[updateable_reused_components]}
• Le projet DEVRAIT éviter d'utiliser des fonctions et des API obsolètes quand des alternatives FLOSS sont disponibles dans l'ensemble de technologies qu'il utilise (sa « pile de technologies ») et disponibles à une large majorité des utilisateurs supportés par le projet (afin que les utilisateurs puissent avoir accès à l'alternative). {N/A justification} {Atteint justification} ^{[interfaces_current]}

Suite de tests automatisée

• Une suite de tests automatisée DOIT être appliquée à chaque commit dans un dépôt partagé pour au moins une branche. Cette suite de tests DOIT produire un rapport sur le succès ou l'échec du test. {Atteint justification} ^{[automated_integration_testing]}
• Le projet DOIT ajouter des tests de régression à une suite de tests automatisée pour au moins 50% des bogues corrigés au cours des six derniers mois. {N/A justification} {Atteint justification} ^{[regression_tests_added50]}
• Le projet DOIT avoir une ou des suites de tests automatisées FLOSS qui fournissent une couverture d'instructions d'au moins 80% s'il existe au moins un outil FLOSS qui peut mesurer ce critère dans le langage sélectionné. {N/A justification} {Atteint justification} ^{[test_statement_coverage80]}

Nouveau test de fonctionnalité

• Le projet DOIT avoir une politique écrite formelle, que dès qu'une nouvelle fonctionnalité majeure est ajoutée, des tests pour la nouvelle fonctionnalité DOIVENT être ajoutés à une suite de tests automatisée. {N/A justification} {Atteint justification} ^{[test_policy_mandated]}
• Le projet DOIT inclure, dans ses instructions documentées pour les propositions de changement, la politique selon laquelle des tests doivent être ajoutés pour toute nouvelle fonctionnalité majeure. {N/A justification} {Atteint justification} ^{[tests_documented_added]}

Options d'avertissement

• Les projets DOIVENT être maximalement stricts avec les avertissements dans le logiciel produit par le projet, quand cela est approprié. {N/A justification} {Atteint justification} ^{[warnings_strict]}

Sécurité

Connaissance du développement sécurisé

• Le projet DOIT implémenter des principes de conception sécurisés (à partir de « know_secure_design »), quand cela est approprié. Si le projet ne produit pas de logiciel, sélectionnez « non applicable » (N/A). {N/A justification} {Atteint justification} ^{[implement_secure_design]}

Utiliser de bonnes pratiques de base de cryptographie

• Les mécanismes de sécurité par défaut dans le logiciel produit par le projet NE DOIVENT PAS dépendre d'algorithmes ou de modes cryptographiques avec des faiblesses sérieuses connues (par exemple, l'algorithme de hachage cryptographique SHA-1 ou le mode CBC en SSH). {N/A autorisé} {Atteint justification} ^{[crypto_weaknesses]}
• Le projet DEVRAIT supporter plusieurs algorithmes cryptographiques, afin que les utilisateurs puissent rapidement changer si l'un deux est cassé. Les algorithmes à clés symétriques courants incluent AES, Twofish et Serpent. Les alternatives d'algorithme de hachage cryptographique courantes incluent SHA-2 (y compris SHA-224, SHA-256, SHA-384 ET SHA-512) et SHA-3. {N/A autorisé} {Atteint justification} ^{[crypto_algorithm_agility]}
• Le projet DOIT supporter le stockage des informations d'authentification (comme les mots de passe et les jetons dynamiques) et des clés cryptographiques privées dans des fichiers distincts des autres informations (fichiers de configuration, bases de données et journaux) et permettre aux utilisateurs de les mettre à jour et de les remplacer sans recompilation de code. Si le projet ne traite jamais d'informations d'authentification et de clés cryptographiques privées, sélectionnez « non applicable » (N/A). {N/A autorisé} {Atteint justification} ^{[crypto_credential_agility]}
• Le logiciel produit par le projet DEVRAIT supporter des protocoles sécurisés pour toutes ses communications réseau, tels que SSHv2 ou ultérieur, TLS1.2 ou ultérieur (HTTPS), IPsec, SFTP et SNMPv3. Les protocoles non sûrs tels que FTP, HTTP, telnet, SSLv3 ou antérieur, et SSHv1 DEVRAIENT être désactivés par défaut et uniquement activés si l'utilisateur le configure spécifiquement. Si le logiciel produit par le projet ne prend pas en charge les communications réseau, sélectionnez « non applicable » (N/A). {N/A autorisé} {Atteint justification} ^{[crypto_used_network]}
• Le logiciel produit par le projet DEVRAIT, s'il prend en charge ou utilise TLS, prendre en charge au moins TLS version 1.2. Notez que le prédécesseur de TLS s'appelait SSL. Si le logiciel n'utilise pas TLS, sélectionnez « non applicable » (N/A). {N/A autorisé} {Atteint justification} ^{[crypto_tls12]}
• Le logiciel produit par le projet DOIT, s'il prend en charge TLS, effectuer la vérification des certificats TLS par défaut lors de l'utilisation de TLS, y compris sur les sous-ressources. Si le logiciel n'utilise pas TLS, sélectionnez « non applicable » (N/A). {N/A autorisé} {Atteint justification} ^{[crypto_certificate_verification]}
• Le logiciel produit par le projet DOIT, s'il supporte TLS, effectuer une vérification de certificat avant d'envoyer des en-têtes HTTP avec des informations privées (telles que des cookies sécurisés). Si le logiciel n'utilise pas TLS, sélectionnez « non applicable » (N/A). {N/A autorisé} {Atteint justification} ^{[crypto_verification_private]}

Livraison sécurisée

• Le projet DOIT signer cryptographiquement les versions des résultats du projet destinées à une utilisation répandue, et il DOIT y avoir un processus documenté expliquant aux utilisateurs comment ils peuvent obtenir les clés de signature publique et vérifier la ou les signatures. La clé privée pour ces signature(s) NE DOIT PAS être sur le(s) site(s) utilisé(s) pour distribuer directement le logiciel au public. Si les versions ne sont pas destinées à une utilisation répandue, sélectionnez « non applicable » (N/A). {N/A justification} {Atteint justification} ^{[signed_releases]}
• Il est PROPOSÉ que, dans le système de contrôle de la version, chaque tag d'une version importante (un tag faisant partie d'une version majeure, d'une version mineure ou qui corrige des vulnérabilités notées publiquement) soit cryptographiquement signé et vérifiable comme décrit dans signed_releases. {Atteint justification} ^{[version_tags_signed]}

Autres problèmes de sécurité

• Les résultats du projet DOIVENT vérifier toutes les entrées provenant de sources potentiellement non fiables pour s'assurer qu'elles sont valides (une liste blanche) et rejeter les entrées non valides, en cas de restrictions sur les données. {N/A justification} {Atteint justification} ^{[input_validation]}
• Les mécanismes de durcissement DOIVENT être utilisés dans le logiciel produit par le projet afin que les défauts du logiciel soient moins susceptibles d'entraîner des vulnérabilités de sécurité. {N/A justification} {Atteint justification} ^[hardening]
• Le projet DOIT fournir une analyse de fiabilité qui justifie pourquoi ses exigences de sécurité sont respectées. L'analyse de fiabilité DOIT inclure : une description du modèle de menace, une identification claire des limites de confiance, un argument selon lequel des principes de conception sécurisés ont été appliqués et un argument selon lequel les faiblesses de sécurité courantes de l'implémentation ont été contrées. {Atteint URL} ^{[assurance_case]}

Analyse

Analyse statique de code

• Le projet DOIT utiliser au moins un outil d'analyse statique avec des règles ou des approches pour rechercher des vulnérabilités courantes dans le langage ou l'environnement analysé, s'il existe au moins un outil FLOSS qui peut mettre en œuvre ce critère dans le langage sélectionné. {N/A justification} {Atteint justification} ^{[static_analysis_common_vulnerabilities]}

Analyse dynamique de code

• Si le logiciel produit par le projet inclut un logiciel écrit à l'aide d'un langage non sûr pour les accès mémoire (par exemple C ou C++), alors le projet DOIT utiliser au moins un outil dynamique (par exemple, un fuzzer ou un scanneur d'application Web) utilisé de manière routinière en combinaison avec un mécanisme permettant de détecter des problèmes de sécurité mémoire tels que les dépassement mémoire. Si le projet ne produit pas de logiciel écrit dans un langage non sûr pour les accès mémoire, sélectionnez « non applicable » (N/A). {N/A justification} {Atteint justification} ^{[dynamic_analysis_unsafe]}

Or

Notions de base

Conditions préalables

• Le projet DOIT atteindre un badge de niveau argent. ^{[achieve_silver]}

Supervision du projet

• Le projet DOIT avoir un « facteur bus » de 2 ou plus. {Atteint URL} ^[bus_factor]
• Le projet DOIT avoir au moins deux contributeurs significatifs non associés. {Atteint URL} ^{[contributors_unassociated]}

Autre

• Le projet DOIT inclure une déclaration de droit d'auteur dans chaque fichier source, identifiant le détenteur du droit d'auteur (par exemple, les contributeurs de [nom du projet]). {Atteint justification} ^{[copyright_per_file]}
• Le projet DOIT inclure une déclaration de licence dans chaque fichier source. Cela PEUT être fait en incluant ce qui suit à l'intérieur d'un commentaire au début de chaque fichier : SPDX-License-Identifier : [expression d'une licence SPDX pour le projet]. {Atteint justification} ^{[license_per_file]}

Contrôle des modifications

Dépôt source public sous contrôle de version

• Le dépôt source du projet DOIT utiliser un logiciel courant de contrôle de version distribué (par exemple, git ou mercurial). {Atteint justification} ^{[repo_distributed]}
• Le projet DOIT identifier clairement les petites tâches qui peuvent être effectuées par des contributeurs nouveaux ou occasionnels. {Atteint URL} ^{[small_tasks]}
• Le projet DOIT exiger l'authentification à deux facteurs (2FA) des développeurs pour changer un dépôt central ou accéder à des données sensibles (telles que des signalements de vulnérabilités privés). Ce mécanisme 2FA PEUT utiliser des mécanismes sans mécanismes cryptographiques tels que SMS, mais cela n'est pas recommandé. {Atteint justification} ^{[require_2FA]}
• L'authentification à deux facteurs du projet (2FA) DOIT utiliser des mécanismes cryptographiques pour empêcher l'emprunt d'identité. Une 2FA basée sur un service de messages courts (SMS), par elle-même, ne satisfait PAS à ce critère, car elle n'est pas chiffrée. {Atteint justification} ^[secure_2FA]

Qualité

Normes de codage

• Le projet DOIT documenter ses exigences en matière de revue de code, y compris la façon dont la revue de code est menée, ce qui doit être vérifié et ce qui est requis pour être acceptable. {N/A justification} {Atteint URL} ^{[code_review_standards]}
• Le projet DOIT avoir au moins 50% de toutes les modifications proposées revues avant la sortie par une personne autre que l'auteur, afin de déterminer s'il s'agit d'une modification valable et sans problèmes connus qui risqueraient de s'opposer à son inclusion. {Atteint justification} ^{[two_person_review]}

Système de construction opérationnel

• Le projet DOIT avoir une construction reproductible. Si aucune construction ne se produit (par exemple, les langages de script où le code source est utilisé directement au lieu d'être compilé), sélectionnez « non applicable » (N/A). {N/A justification} {Atteint URL} ^{[build_reproducible]}

Suite de tests automatisée

• Une suite de tests DOIT être invocable d'une manière standard pour ce langage. {Atteint URL} ^{[test_invocation]}
• Le projet DOIT utiliser une intégration continue, où le code nouveau ou modifié est fréquemment intégré dans un dépôt de code central et des tests automatisés sont exécutés sur le résultat. {Atteint URL} ^{[test_continuous_integration]}
• Le projet DOIT avoir une ou des suites de tests automatisées FLOSS qui fournissent une couverture d'instructions d'au moins 90% s'il existe au moins un outil FLOSS qui peut mesurer ce critère dans le langage sélectionné. {N/A justification} {Atteint justification} ^{[test_statement_coverage90]}
• Le projet DOIT avoir une ou des suites de tests automatisées FLOSS qui fournissent une couverture de branche d'au moins 80% s'il existe au moins un outil FLOSS qui peut mesurer ce critère dans le langage sélectionné. {N/A justification} {Atteint justification} ^{[test_branch_coverage80]}

Sécurité

Utiliser de bonnes pratiques de base de cryptographie

• Le logiciel produit par le projet DOIT supporter des protocoles sécurisés pour toutes ses communications réseau, tels que SSHv2 ou ultérieur, TLS1.2 ou ultérieur (HTTPS), IPsec, SFTP et SNMPv3. Les protocoles non sûrs tels que FTP, HTTP, telnet, SSLv3 ou antérieur, et SSHv1 DOIVENT être désactivés par défaut et uniquement activés si l'utilisateur le configure spécifiquement. Si le logiciel produit par le projet ne prend pas en charge les communications réseau, sélectionnez « non applicable » (N/A). {N/A autorisé} {Atteint justification} ^{[crypto_used_network]}
• Le logiciel produit par le projet DOIT, s'il prend en charge ou utilise TLS, prendre en charge au moins TLS version 1.2. Notez que le prédécesseur de TLS s'appelait SSL. Si le logiciel n'utilise pas TLS, sélectionnez « non applicable » (N/A). {N/A autorisé} {Atteint justification} ^{[crypto_tls12]}

Livraison sécurisée contre les attaques man-in-the-middle (MITM)

• Le site Web du projet, le dépôt (s'il est accessible via le Web) et le site de téléchargement (si séparé) DOIVENT inclure des en-têtes clés de durcissement avec des valeurs non admises. {Atteint URL} ^{[hardened_site]}

Autres problèmes de sécurité

• Le projet DOIT avoir effectué une évaluation de la sécurité au cours des 5 dernières années. Cette revue DOIT prendre en considération les exigences de sécurité et les limites de sécurité. {Atteint justification} ^{[security_review]}
• Des mécanismes de durcissement DOIVENT être utilisés dans le logiciel produit par le projet afin que les défauts du logiciel soient moins susceptibles d'entraîner des vulnérabilités de sécurité. {N/A justification} {Atteint URL} ^[hardening]

Analyse

Analyse dynamique de code

• Le projet DOIT appliquer au moins un outil d'analyse dynamique à tout candidat pour une version majeure du logiciel produit par le projet avant sa sortie. {N/A justification} {Atteint justification} ^{[dynamic_analysis]}
• Le projet DEVRAIT inclure de nombreuses assertions à l'exécution dans le logiciel qu'il produit, et vérifier ces assertions lors d'une analyse dynamique. {N/A justification} {Atteint justification} ^{[dynamic_analysis_enable_assertions]}