Releases ohne bekannte Schwachstellen

Dieser Check überprüft, ob in einem definierten Zeitraum (den letzten 6 Monaten) veröffentlichte Releases zum Zeitpunkt der Veröffentlichung keine bekannten kritischen Schwachstellen (CVEs) in den Abhängigkeiten hatten. Aktuell werden CVEs berücksichtigt, die einen Schweregrad von mindestens “High” (CVSS >= 7.0) haben.

- type: RELEASE_WITHOUT_VULNERABILITIES
  description: Checks if releases had no known critical vulnerabilities (CVEs) in dependencies at the time of release.
  threshold:
    timeRangeInMonths: 6

Hintergrund

Die Sicherheit von Softwareprojekten ist von entscheidender Bedeutung, und verschiedene Standards und Richtlinien geben vor, dass Softwareprojekte regelmäßig auf bekannte Sicherheitslücken überprüft werden sollten. Ein wichtiger Aspekt dabei ist sicherzustellen, dass veröffentlichte Releases keine bekannten kritischen Schwachstellen in ihren Abhängigkeiten aufweisen.

Ein Projekt was sicherstellt, dass seine Releases keine bekannten kritischen Schwachstellen enthalten, zeigt, dass es proaktiv mit Sicherheitsrisiken umgeht und ein aktives Schwachstellenmanagement betreibt.

Anleitung zum Erfüllen des Checks auf openCode

Sie finden im Kapitel “Guides” Anleitungen zur Erfüllung dieses Checks auf der Plattform openCode:

Guide: Security Level 3 Badge

Menü

Releases ohne bekannte Schwachstellen

Hintergrund

Anleitung zum Erfüllen des Checks auf openCode