scorecard
v5.0.0
私たちは、オープンソースの保守者がセキュリティのベスト プラクティスを改善できるように、またオープンソースの利用者が依存関係が安全かどうかを判断できるようにするために、スコアカードを作成しました。
スコアカードは、ソフトウェア セキュリティに関連する多数の重要なヒューリスティック (「チェック」) を評価し、各チェックに 0 ~ 10 のスコアを割り当てる自動ツールです。これらのスコアを使用して、プロジェクトのセキュリティ体制を強化するために改善すべき特定の領域を理解できます。また、依存関係によってもたらされるリスクを評価し、これらのリスクの受け入れ、代替ソリューションの評価、またはメンテナーとの協力による改善について情報に基づいた意思決定を行うこともできます。
スコアカードのロゴのインスピレーション: 「合格しました! すべて D で、A も獲得しました!」
オープンソース プロジェクトのセキュリティ体制に関する分析と信頼の決定を自動化します。
このデータを使用して、世界が依存する重要なプロジェクトのセキュリティ体制を積極的に改善します。
既存のポリシーの測定ツールとして機能する
OSS コンシューマーが依存関係から特定の動作を必要とする場合、スコアカードを使用してそれらを測定できます。 V5 リリースでは、サポートされている分析がある場合にこれを実行する方法として構造化結果が表示されます。 OSS コンシューマは、X/10 の集計スコアや Y/10 の Maintained スコアに依存するのではなく、依存しているリポジトリがアーカイブされていないことを確認したい場合があります (これはarchivedプローブでカバーされます)。 OpenSSF は、プロジェクト用の独自のセキュリティ ベースラインを使用してこのアプローチを採用しています。
すべてのプロジェクトが従うべき最終的なレポートまたは要件となること。
スコアカードは、万能のソリューションを意図したものではありません。どのチェックが含まれるか除外されるか、各チェックの重要性、スコアの計算方法など、結果を作成するすべてのステップに独自の意見があります。チェック自体はヒューリスティックです。偽陽性と偽陰性があります。
適用可能性、実現可能性、あるいは意見の問題であっても、スコアカードの結果に何が含まれるか、何が除外されるかについては、多くの議論が生まれます。視聴者によって関心のある行動の部分が異なるため、全員が満足するスコアカードを作成することは不可能です。
特に、集計スコアからは、リポジトリがどのような個々の動作を行っているか、または行っていないのかについては何もわかりません。多くのチェック スコアが 1 つのスコアに集約され、同じスコアに到達する方法は複数あります。これらのスコアは、新しいヒューリスティックを追加したり、既存のヒューリスティックを改良したりすると変化します。
Scorecard は、セキュリティ メトリクスを監視および追跡するために、何千ものプロジェクトで実行されてきました。スコアカードを使用する著名なプロジェクトには次のようなものがあります。
Scorecard によって定期的にスキャンされたプロジェクトのスコアを確認するには、Web ビューアに移動します。次のテンプレート リンク内のプレースホルダー テキスト (プラットフォーム、ユーザー/組織、およびリポジトリ名) を置き換えて、リポジトリのカスタム スコアカード リンクを生成することもできます: https://scorecard.dev/viewer/?uri=<github_or_gitlab>.com/<user_name_or_org>/<repository_name>
例えば:
Web ビューアに含まれていないプロジェクトのスコアを表示するには、Scorecard CLI を使用します。
私たちは直接の依存関係によって判断された 100 万件の最も重要なオープンソース プロジェクトのスコアカード スキャンを毎週実行し、その結果を BigQuery 公開データセットで公開します。
このデータは、パブリック BigQuery データセットopenssf:scorecardcron.scorecard-v2で利用できます。最新の結果は、BigQuery ビューopenssf:scorecardcron.scorecard-v2_latestで入手できます。
BigQuery Explorer を使用してデータをクエリするには、[データの追加] > [名前でプロジェクトにスターを付ける] > [openssf] に移動します。たとえば、プロジェクトのスコアが時間の経過とともにどのように変化したかに興味があるかもしれません。
SELECT date , score FROM ` openssf.scorecardcron.scorecard-v2 ` WHERE repo . name = " github.com/ossf/scorecard " ORDER BY date ASC bqツールを使用して、最新の結果を JSON 形式で Google Cloud ストレージに抽出できます。
# Get the latest PARTITION_ID
bq query --nouse_legacy_sql 'SELECT partition_id FROM
openssf.scorecardcron.INFORMATION_SCHEMA.PARTITIONS WHERE table_name="scorecard-v2"
AND partition_id!="__NULL__" ORDER BY partition_id DESC
LIMIT 1'
# Extract to GCS
bq extract --destination_format=NEWLINE_DELIMITED_JSON
'openssf:scorecardcron.scorecard-v2$<partition_id>' gs://bucket-name/filename-*.json
チェックされたプロジェクトのリストは、このリポジトリのcron/internal/data/projects.csvファイルで入手できます。さらに追跡したい場合は、他の人と一緒にお気軽にプル リクエストを送信してください。現在、このリストはGitHub でホストされているプロジェクトのみから派生しています。近い将来、他のソース管理システムでホストされているプロジェクトを考慮してこれらを拡張する予定です。
自分が所有する GitHub プロジェクトで Scorecard を使用する最も簡単な方法は、Scorecard GitHub Action を使用することです。アクションはリポジトリの変更に対して実行され、保守者がリポジトリの [セキュリティ] タブで表示できるアラートを発行します。詳細については、Scorecard GitHub Action のインストール手順を参照してください。
OSS プロジェクトの事前計算されたスコアをクエリするには、REST API を使用します。
プロジェクトを REST API で利用できるようにするには、スコアカードの GitHub アクション設定で、 publish_results: trueを設定します。
REST API によって提供されるデータは、CDLA Permissive 2.0 に基づいてライセンスされています。
Scorecard GitHub Actions でpublish_results: trueを有効にすると、メンテナーはリポジトリに Scorecard バッジを表示して、その努力を誇示することもできます。このバッジは、リポジトリに変更が加えられるたびに自動更新されます。詳細については、この OSSF ブログ投稿を参照してください。
プロジェクトのリポジトリにバッジを含めるには、次のマークダウンを README に追加するだけです。
[](https://scorecard.dev/viewer/?uri=github.com/{owner}/{repo})
所有していないプロジェクトに対してスコアカード スキャンを実行するには、コマンド ライン インターフェイスのインストール オプションを使用します。
プラットフォーム: 現在、Scorecard は OSX および Linux プラットフォームをサポートしています。 Windows OS を使用している場合は、問題が発生する可能性があります。 Windows のサポートへの貢献を歓迎します。
言語: Scorecard を実行するには GoLang がインストールされている必要があります (https://golang.org/doc/install)
scorecardは Docker コンテナとして利用できます。
docker pull gcr.io/openssf/scorecard:stable特定のスコアカード バージョン (v3.2.1 など) を使用するには、次を実行します。
docker pull gcr.io/openssf/scorecard:v3.2.1Scorecard をスタンドアロンとしてインストールするには:
最新のリリース ページにアクセスし、お使いのオペレーティング システムに適した zip ファイルをダウンロードしてください。
バイナリをGOPATH/binディレクトリに追加します (必要に応じてgo env GOPATH使用してディレクトリを識別します)。
リリース プロセス中に、OpenSSF の slsa-framework/slsa-github-generator を使用して SLSA3 署名を生成します。リリースバイナリを確認するには:
attestation.intoto.jsonlをダウンロードします。slsa-verifier -artifact-path < the-zip > -provenance attestation.intoto.jsonl -source github.com/ossf/scorecard -tag < the-tag > | パッケージマネージャー | サポートされているディストリビューション | 指示 |
|---|---|---|
| ニックス | NixOS | nix-shell -p nixpkgs.scorecard |
| AURヘルパー | Arch Linux | AUR ヘルパーを使用してscorecardをインストールする |
| 自作 | macOS または Linux | brew install scorecard |
GitHub は、認証されていないリクエストに API レート制限を課します。これらの制限を回避するには、Scorecard を実行する前にリクエストを認証する必要があります。リクエストを認証するには 2 つの方法があります。GitHub 個人アクセス トークンを作成するか、GitHub アプリ インストールを作成します。
public_repoスコープを選択することをお勧めします。プラットフォームに応じて以下のコマンドを使用して、 GITHUB_AUTH_TOKEN 、 GITHUB_TOKEN 、 GH_AUTH_TOKENまたはGH_TOKENという環境変数にトークンを設定します。 # For posix platforms, e.g. linux, mac:
export GITHUB_AUTH_TOKEN= < your access token >
# Multiple tokens can be provided separated by comma to be utilized
# in a round robin fashion.
export GITHUB_AUTH_TOKEN= < your access token 1> , < your access token 2>
# For windows:
set GITHUB_AUTH_TOKEN= < your access token >
set GITHUB_AUTH_TOKEN= < your access token 1> , < your access token 2>または
setまたはexport ) に続いて、以下の 3 つの環境変数を使用できます。 GITHUB_APP_KEY_PATH=<path to the key file on disk>
GITHUB_APP_INSTALLATION_ID=<installation id>
GITHUB_APP_ID=<app id>
これらの変数は、GitHub 開発者設定ページから取得できます。
スコアカードは、ターゲット リポジトリの URL という 1 つの引数だけを使用して実行できます。
$ scorecard --repo=github.com/ossf-tests/scorecard-check-branch-protection-e2e
Starting [CII-Best-Practices]
Starting [Fuzzing]
Starting [Pinned-Dependencies]
Starting [CI-Tests]
Starting [Maintained]
Starting [Packaging]
Starting [SAST]
Starting [Dependency-Update-Tool]
Starting [Token-Permissions]
Starting [Security-Policy]
Starting [Signed-Releases]
Starting [Binary-Artifacts]
Starting [Branch-Protection]
Starting [Code-Review]
Starting [Contributors]
Starting [Vulnerabilities]
Finished [CI-Tests]
Finished [Maintained]
Finished [Packaging]
Finished [SAST]
Finished [Signed-Releases]
Finished [Binary-Artifacts]
Finished [Branch-Protection]
Finished [Code-Review]
Finished [Contributors]
Finished [Dependency-Update-Tool]
Finished [Token-Permissions]
Finished [Security-Policy]
Finished [Vulnerabilities]
Finished [CII-Best-Practices]
Finished [Fuzzing]
Finished [Pinned-Dependencies]
RESULTS
-------
Aggregate score: 7.9 / 10
Check scores:
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| SCORE | NAME | REASON | DOCUMENTATION/REMEDIATION |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 10 / 10 | Binary-Artifacts | no binaries found in the repo | github.com/ossf/scorecard/blob/main/docs/checks.md#binary-artifacts |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 9 / 10 | Branch-Protection | branch protection is not | github.com/ossf/scorecard/blob/main/docs/checks.md#branch-protection |
| | | maximal on development and all | |
| | | release branches | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| ? | CI-Tests | no pull request found | github.com/ossf/scorecard/blob/main/docs/checks.md#ci-tests |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | CII-Best-Practices | no badge found | github.com/ossf/scorecard/blob/main/docs/checks.md#cii-best-practices |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 10 / 10 | Code-Review | branch protection for default | github.com/ossf/scorecard/blob/main/docs/checks.md#code-review |
| | | branch is enabled | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | Contributors | 0 different companies found -- | github.com/ossf/scorecard/blob/main/docs/checks.md#contributors |
| | | score normalized to 0 | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | Dependency-Update-Tool | no update tool detected | github.com/ossf/scorecard/blob/main/docs/checks.md#dependency-update-tool |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | Fuzzing | project is not fuzzed in | github.com/ossf/scorecard/blob/main/docs/checks.md#fuzzing |
| | | OSS-Fuzz | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 1 / 10 | Maintained | 2 commit(s) found in the last | github.com/ossf/scorecard/blob/main/docs/checks.md#maintained |
| | | 90 days -- score normalized to | |
| | | 1 | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| ? | Packaging | no published package detected | github.com/ossf/scorecard/blob/main/docs/checks.md#packaging |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 8 / 10 | Pinned-Dependencies | unpinned dependencies detected | github.com/ossf/scorecard/blob/main/docs/checks.md#pinned-dependencies |
| | | -- score normalized to 8 | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | SAST | no SAST tool detected | github.com/ossf/scorecard/blob/main/docs/checks.md#sast |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | Security-Policy | security policy file not | github.com/ossf/scorecard/blob/main/docs/checks.md#security-policy |
| | | detected | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| ? | Signed-Releases | no releases found | github.com/ossf/scorecard/blob/main/docs/checks.md#signed-releases |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 10 / 10 | Token-Permissions | tokens are read-only in GitHub | github.com/ossf/scorecard/blob/main/docs/checks.md#token-permissions |
| | | workflows | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 10 / 10 | Vulnerabilities | no vulnerabilities detected | github.com/ossf/scorecard/blob/main/docs/checks.md#vulnerabilities |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- | GITHUB_AUTH_TOKENは有効なトークンに設定する必要があります
docker run -e GITHUB_AUTH_TOKEN=token gcr.io/openssf/scorecard:stable --show-details --repo=https://github.com/ossf/scorecard特定のスコアカード バージョン (v3.2.1 など) を使用するには、次を実行します。
docker run -e GITHUB_AUTH_TOKEN=token gcr.io/openssf/scorecard:v3.2.1 --show-details --repo=https://github.com/ossf/scorecardチェックが失敗する理由の詳細については、 --show-detailsオプションを使用してください。
./scorecard --repo=github.com/ossf-tests/scorecard-check-branch-protection-e2e --checks Branch-Protection --show-details
Starting [Pinned-Dependencies]
Finished [Pinned-Dependencies]
RESULTS
-------
|---------|------------------------|--------------------------------|--------------------------------|---------------------------------------------------------------------------|
| SCORE | NAME | REASON | DETAILS | DOCUMENTATION/REMEDIATION |
|---------|------------------------|--------------------------------|--------------------------------|---------------------------------------------------------------------------|
| 9 / 10 | Branch-Protection | branch protection is not | Info: 'force pushes' disabled | github.com/ossf/scorecard/blob/main/docs/checks.md#branch-protection |
| | | maximal on development and all | on branch 'main' Info: 'allow | |
| | | release branches | deletion' disabled on branch | |
| | | | 'main' Info: linear history | |
| | | | enabled on branch 'main' Info: | |
| | | | strict status check enabled | |
| | | | on branch 'main' Warn: status | |
| | | | checks for merging have no | |
| | | | specific status to check on | |
| | | | branch 'main' Info: number | |
| | | | of required reviewers is 2 | |
| | | | on branch 'main' Info: Stale | |
| | | | review dismissal enabled on | |
| | | | branch 'main' Info: Owner | |
| | | | review required on branch | |
| | | | 'main' Info: 'administrator' | |
| | | | PRs need reviews before being | |
| | | | merged on branch 'main' | |
|---------|------------------------|--------------------------------|--------------------------------|---------------------------------------------------------------------------|
メンテナ アノテーションを使用すると、メンテナはスコアカード チェック結果と一緒に表示するコンテキストを追加できます。 Scorecard によるプロジェクトのセキュリティ実践の評価が不完全な場合、注釈はユーザーに追加情報を提供できます。各チェックのメンテナの注釈を表示するには、 --show-annotationsオプションを使用します。
利用可能な注釈または注釈の作成方法の詳細については、設定ドキュメントを参照してください。
GitLab リポジトリで Scorecard を実行するには、次の権限を持つ GitLab アクセス トークンを作成する必要があります。
read_apiread_userread_repository GITLAB_AUTH_TOKEN環境変数を設定することで、GitLab リポジトリで Scorecard を実行できます。
export GITLAB_AUTH_TOKEN=glpat-xxxx
scorecard --repo gitlab.com/ < org > / < project > / < subproject >GitLab CI/CD での Scorecard の使用例については、ここを参照してください。
私たちは GitLab.com のサポートに重点を置いていますが、Scorecard は自己ホスト型の GitLab インストールでも動作します。プラットフォームがサブドメイン (例: gitlab.foo.com ) でホストされている場合、Scorecard はそのまま動作するはずです。プラットフォームが何らかのスラッグ (例: foo.com/bar/ ) でホストされている場合は、 GL_HOST環境変数を設定する必要があります。
export GITLAB_AUTH_TOKEN=glpat-xxxx
export GL_HOST=foo.com/bar
scorecard --repo foo.com/bar/ < org > / < project > GitHub Enterprise ホストgithub.corp.comを使用するには、 GH_HOST環境変数を使用します。
# Set the GitHub Enterprise host without https prefix or slash with relevant authentication token
export GH_HOST=github.corp.com
export GITHUB_AUTH_TOKEN=token
scorecard --repo=github.corp.com/org/repo
# OR without github host url
scorecard --repo=org/repo--npm 、 --pypi 、 --rubygems 、または--nugetエコシステム内のプロジェクトの場合、パッケージ マネージャーを使用して Scorecard を実行するオプションがあります。パッケージ名を指定して、対応する GitHub ソース コードのチェックを実行します。
たとえば、 --npm=angular 。
特定のチェックのみを実行するには、チェック名のリストを指定して--checks引数を追加します。
たとえば、 --checks=CI-Tests,Code-Review 。
現在サポートされている形式はdefault (テキスト) とjsonです。
これらは--formatフラグで指定できます。たとえば、 --format=json 。
次のチェックはすべて、デフォルトでターゲット プロジェクトに対して実行されます。
| 名前 | 説明 | リスクレベル | トークンが必要です | GitLab サポート | 注記 |
|---|---|---|---|---|---|
| バイナリアーティファクト | プロジェクトにはチェックインされたバイナリはありませんか? | 高い | PAT、GITHUB_TOKEN | サポートされています | |
| ブランチプロテクション | プロジェクトはブランチ保護を使用していますか? | 高い | PAT ( repoまたはrepo> public_repo )、GITHUB_TOKEN | サポートされています (注を参照) | 特定の設定はメンテナ PAT でのみサポートされます |
| CI テスト | プロジェクトは、GitHub Actions、Prow などの CI でテストを実行しますか? | 低い | PAT、GITHUB_TOKEN | サポートされています | |
| CII-ベストプラクティス | プロジェクトは、合格、シルバー、またはゴールド レベルの OpenSSF (旧 CII) ベスト プラクティス バッジを獲得しましたか? | 低い | PAT、GITHUB_TOKEN | 検証中 | |
| コードレビュー | プロジェクトでは、コードがマージされる前にコード レビューを実施しますか? | 高い | PAT、GITHUB_TOKEN | 検証中 | |
| 貢献者 | プロジェクトには少なくとも 2 つの異なる組織からの貢献者がいますか? | 低い | PAT、GITHUB_TOKEN | 検証中 | |
| 危険なワークフロー | プロジェクトは、GitHub Action ワークフローの危険なコーディング パターンを回避していますか? | 致命的 | PAT、GITHUB_TOKEN | サポートされていません | |
| 依存関係更新ツール | プロジェクトは依存関係の更新に役立つツールを使用していますか? | 高い | PAT、GITHUB_TOKEN | サポートされていません | |
| ファジング | プロジェクトは、OSS-Fuzz、QuickCheck、fast-check などのファジング ツールを使用していますか? | 中くらい | PAT、GITHUB_TOKEN | 検証中 | |
| ライセンス | プロジェクトはライセンスを宣言しますか? | 低い | PAT、GITHUB_TOKEN | 検証中 | |
| 保守済み | プロジェクトは少なくとも 90 日経過しており、維持されていますか? | 高い | PAT、GITHUB_TOKEN | 検証中 | |
| 固定された依存関係 | プロジェクトは依存関係を宣言して固定していますか? | 中くらい | PAT、GITHUB_TOKEN | 検証中 | |
| 包装 | プロジェクトは、CI/CD から公式パッケージをビルドして公開しますか (例: GitHub Publishing)? | 中くらい | PAT、GITHUB_TOKEN | 検証中 | |
| SAST | プロジェクトは静的コード分析ツール (CodeQL、LGTM (非推奨)、SonarCloud など) を使用していますか? | 中くらい | PAT、GITHUB_TOKEN | サポートされていません | |
| セキュリティポリシー | プロジェクトにはセキュリティ ポリシーが含まれていますか? | 中くらい | PAT、GITHUB_TOKEN | 検証中 | |
| 署名付きリリース | プロジェクトはリリースに暗号署名を行いますか? | 高い | PAT、GITHUB_TOKEN | 検証中 | |
| トークン権限 | プロジェクトは GitHub ワークフロー トークンを読み取り専用として宣言していますか? | 高い | PAT、GITHUB_TOKEN | サポートされていません | |
| 脆弱性 | プロジェクトに未修正の脆弱性はありますか? OSVサービスを使用します。 | 高い | PAT、GITHUB_TOKEN | 検証中 | |
| Webhook | リポジトリで定義された Webhook には、リクエストの送信元を認証するように構成されたトークンがありますか? | 致命的 | メンテナー PAT ( admin: repo_hookまたはadmin> read:repo_hook doc | 実験的 |
各チェック、そのスコア基準、修復手順に関する詳細情報を確認するには、チェックのドキュメント ページを確認してください。
開始時に使用する必要があるチェックのガイドについては、スコアカード チェックの初心者ガイドを参照してください。
2 要素認証 (2FA) は、Web サイトまたはアプリにログインする際のセキュリティ層を追加します。 2FA は、SMS や認証アプリ経由で送信されたコード、または物理的なセキュリティ キーに触れたりするなど、2 番目の認証形式を要求することによってパスワードが侵害された場合にアカウントを保護します。
2FA が利用可能な重要なアカウントでは、2FA を有効にすることを強くお勧めします。 GitHub と GitLab はユーザー アカウントに関するデータを公開していないため、2FA はスコアカード チェックではありません。おそらく、2FA のないアカウントは攻撃に対して非常に脆弱であるため、このデータは常に非公開にしておく必要があります。
これは公式のチェックではありませんが、すべてのプロジェクト管理者に対し、プロジェクトを侵害から保護するために 2FA を有効にすることをお勧めします。
「2 要素認証の構成」で説明されている手順に従います。
可能であれば、次のいずれかを使用します。
最後のオプションとして、SMS を使用します。注意: SMS を使用する 2FA は SIM スワップ攻撃に対して脆弱です。
個々のチェックでは 0 ~ 10 のスコアが返され、10 が最高のスコアを表します。スコアカードは、リスクによって重み付けされた個々のチェックの重みベースの平均である集計スコアも生成します。
各チェックのリスク レベルについては、現在のスコアカード チェックのリストを参照してください。
バグと思われる問題がある場合は、GitHub 問題追跡システムを使用してください。問題を提出する前に、既存の問題を検索して、問題がすでにカバーされているかどうかを確認してください。
貢献する前に、当社の行動規範に従ってください。
プロジェクトに貢献する方法については、貢献ドキュメントを参照してください。
チェックを追加したい場合は、こちらのガイダンスをご覧ください。
スコアカード コミュニティに参加したい場合、またはチャットしたいアイデアがある場合は、OSSF ベスト プラクティス ワーキング グループの会議でこのプロジェクトについて話し合います。
| アーチファクト | リンク |
|---|---|
| スコアカード開発フォーラム | ossf-scorecard-dev@ |
| スコアカード発表フォーラム | ossf-scorecard-announce@ |
| コミュニティミーティングVC | Zoomミーティングへのリンク |
| コミュニティミーティングカレンダー | APAC 向け隔週木曜午後 1:00 ~ 2:00 太平洋時間 (OSSF 公開カレンダー) ビデオ通話: LFX ズーム EMEA フレンドリー毎月第 4 月曜日、太平洋時間午前 7:00 ~ 8:00 (OSSF 公開カレンダー) ビデオ通話: LFX ズーム |
| 会議メモ | 注意事項 |
| スラックチャンネル | #スコアカード |
メンテナはCODEOWNERS ファイルにリストされています。
セキュリティ問題を報告するには、こちらの手順に従ってください。
APAC 向け隔週木曜、太平洋時間午後 1:00 ~ 2:00 (OSSF 公開カレンダー)
ビデオ通話: LFX ズーム
EMEA フレンドリー毎月第 4 月曜日、太平洋時間午前 7:00 ~ 8:00 (OSSF 公開カレンダー)
ビデオ通話: LFX ズーム
議題と会議メモはここでご覧いただけます。
スコアカードに関するよくある質問への回答については、FAQ を参照してください。
