Security Badge
Offizielle Badge im openCode Software-Katalog
Die Security Badge gibt Auskunft über den Sicherheitsstatus eines Repositorys. Die Badge basiert auf den folgenden Kriterien:
Level 1: Basis Sicherheit
- Reaktionszeit auf Issues: Die durchschnittliche Reaktionszeit auf Issues, welche innerhalb der letzten 3 Monate entstanden sind, beträgt weniger als 7 Tage.
- Geschützte Branches: Der default Branch ist als
protectedkonfuguriert und es sind keine Force-Pushes auf den default Branch erlaubt. - Sicherheitsrichtlinie: Prüft, ob eine Datei
SECURITY.mdim Stammverzeichnis des Default-Branches existiert
Level 2: Erweiterte Sicherheit
- Alle Kriterien aus Level 1
- Code Review: Prüft, ob mind. 75% der Merge Requeste in den letzten 6 Monaten durch einen Maintainer geprüft wurden.
- Signierte Tags: Prüft, ob mind. 80% der Tags der letzten 6 Monate signiert wurden
Level 3: Umfassende Sicherheit
- Alle Kriterien der Level 1 und 2
- Letzte Releases ohne bekannte kritische Schwachstellen: Prüft, ob in den letzten 6 Monaten veröffentlichte Releases zum Zeitpunkt der Veröffentlichung keine bekannten hohe Schwachstellen (CVEs, CVSS >= 7.0) in den Abhängigkeiten hatten.
- Behebungszeit von erkannten CVEs: Prüft, ob bekannte hohen Schwachstellen (CVEs, CVSS >= 7.0) in den Abhängigkeiten des Projekts innerhalb von einem Tag nach deren Erkennen behandelt wurden.