scorecard
v5.0.0
Мы создали систему показателей, чтобы помочь сопровождающим открытого исходного кода улучшить свои передовые методы обеспечения безопасности и помочь потребителям открытого исходного кода оценить, безопасны ли их зависимости.
Система показателей — это автоматизированный инструмент, который оценивает ряд важных эвристик («проверок»), связанных с безопасностью программного обеспечения, и присваивает каждой проверке оценку от 0 до 10. Вы можете использовать эти оценки, чтобы понять конкретные области, которые необходимо улучшить, чтобы повысить уровень безопасности вашего проекта. Вы также можете оценить риски, которые представляют зависимости, и принять обоснованные решения о принятии этих рисков, оценке альтернативных решений или работе с сопровождающими для внесения улучшений.
Вдохновение для логотипа Scorecard: «Вы прошли! Все D… и пятёрка!»
Автоматизируйте анализ и доверенные решения по состоянию безопасности проектов с открытым исходным кодом.
Используйте эти данные для упреждающего улучшения состояния безопасности важнейших проектов, от которых зависит мир.
Выступать в качестве инструмента измерения существующей политики
Если потребители OSS требуют от своих зависимостей определенного поведения, для их измерения можно использовать систему показателей. В версии V5 мы рассматриваем структурированные результаты как способ сделать это, если есть поддерживаемый анализ. Вместо того, чтобы полагаться на совокупную оценку X/10 или поддерживаемую оценку Y/10, потребитель OSS может захотеть убедиться, что репозиторий, от которого он зависит, не заархивирован (что охватывается archived проверкой). OpenSSF использует этот подход в своих собственных базовых показателях безопасности для проектов.
Быть окончательным отчетом или требованием, которому должны следовать все проекты.
Система показателей не предназначена для использования в качестве универсального решения. Каждый этап получения результатов тщательно продуман: какие проверки включены или исключены, важность каждой проверки и как подсчитываются баллы. Сами проверки являются эвристическими; бывают ложноположительные и ложноотрицательные.
Независимо от того, что включено или исключено из результатов системы показателей, это связано с применимостью, осуществимостью или вопросом мнения, вызывает множество дискуссий. Невозможно создать систему показателей, которая удовлетворила бы всех, поскольку разные аудитории будут интересоваться разными подгруппами поведения.
В частности, совокупные оценки ничего не говорят вам о том, какое индивидуальное поведение выполняет или не выполняет репозиторий. Многие баллы по проверкам объединяются в один балл, и существует несколько способов получить один и тот же балл. Эти оценки меняются по мере добавления новых эвристик или уточнения существующих.
Система показателей использовалась в тысячах проектов для мониторинга и отслеживания показателей безопасности. Известные проекты, использующие Scorecard, включают:
Чтобы просмотреть оценки проектов, регулярно сканируемых системой показателей, перейдите в веб-просмотр. Вы также можете заменить текст-заполнитель (платформу, пользователя/организацию и имя репозитория) в следующей ссылке на шаблон, чтобы создать собственную ссылку на систему показателей для репозитория: https://scorecard.dev/viewer/?uri=<github_or_gitlab>.com/<user_name_or_org>/<repository_name>
Например:
Чтобы просмотреть оценки проектов, не включенных в веб-просмотр, используйте интерфейс командной строки системы показателей.
Мы проводим еженедельное сканирование системы показателей 1 миллиона наиболее важных проектов с открытым исходным кодом, оценивая их прямые зависимости, и публикуем результаты в общедоступном наборе данных BigQuery.
Эти данные доступны в общедоступном наборе данных BigQuery openssf:scorecardcron.scorecard-v2 . Последние результаты доступны в представлении BigQuery openssf:scorecardcron.scorecard-v2_latest .
Вы можете запросить данные с помощью BigQuery Explorer, выбрав «Добавить данные» > «Отметить проект по имени» > «openssf». Например, вас может заинтересовать, как оценка проекта менялась с течением времени:
SELECT date , score FROM ` openssf.scorecardcron.scorecard-v2 ` WHERE repo . name = " github.com/ossf/scorecard " ORDER BY date ASC Вы можете извлечь последние результаты в хранилище Google Cloud в формате JSON с помощью инструмента bq :
# Get the latest PARTITION_ID
bq query --nouse_legacy_sql 'SELECT partition_id FROM
openssf.scorecardcron.INFORMATION_SCHEMA.PARTITIONS WHERE table_name="scorecard-v2"
AND partition_id!="__NULL__" ORDER BY partition_id DESC
LIMIT 1'
# Extract to GCS
bq extract --destination_format=NEWLINE_DELIMITED_JSON
'openssf:scorecardcron.scorecard-v2$<partition_id>' gs://bucket-name/filename-*.json
Список проверенных проектов доступен в файле cron/internal/data/projects.csv в этом репозитории. Если вы хотите, чтобы мы отслеживали больше, отправьте запрос на включение другим пользователям. В настоящее время этот список составлен ТОЛЬКО из проектов, размещенных ТОЛЬКО на GitHub . Мы планируем расширить их в ближайшем будущем, чтобы учесть проекты, размещенные в других системах контроля версий.
Самый простой способ использовать Scorecard в ваших проектах GitHub — это действие Scorecard GitHub Action. Действие запускается при любом изменении репозитория и выдает оповещения, которые сопровождающие могут просмотреть на вкладке «Безопасность» репозитория. Дополнительные сведения см. в инструкциях по установке действия Scorecard GitHub.
Чтобы запросить предварительно рассчитанные оценки проектов OSS, используйте REST API.
Чтобы ваш проект был доступен через REST API, установите publish_results: true в настройке действия системы показателей GitHub.
Данные, предоставляемые REST API, лицензируются в соответствии с CDLA Permissive 2.0.
Включение publish_results: true в Scorecard GitHub Actions также позволяет сопровождающим отображать значок Scorecard в своем репозитории, чтобы продемонстрировать свою усердную работу. Этот значок также автоматически обновляется при каждом изменении, внесенном в репозиторий. Более подробную информацию можно найти в этом блоге OSSF.
Чтобы включить значок в репозиторий вашего проекта, просто добавьте следующую уценку в свой README:
[](https://scorecard.dev/viewer/?uri=github.com/{owner}/{repo})
Чтобы запустить сканирование системы показателей в проектах, которыми вы не владеете, используйте параметр установки интерфейса командной строки.
Платформы: в настоящее время Scorecard поддерживает платформы OSX и Linux. Если вы используете ОС Windows, у вас могут возникнуть проблемы. Вклад в поддержку Windows приветствуется.
Язык: для запуска системы показателей у вас должен быть установлен GoLang (https://golang.org/doc/install).
scorecard доступна в виде Docker-контейнера:
docker pull gcr.io/openssf/scorecard:stableЧтобы использовать конкретную версию системы показателей (например, v3.2.1), запустите:
docker pull gcr.io/openssf/scorecard:v3.2.1Чтобы установить Scorecard как отдельную систему:
Посетите нашу страницу последней версии и загрузите ZIP-файл, подходящий для вашей операционной системы.
Добавьте двоичный файл в свой каталог GOPATH/bin (при необходимости используйте go env GOPATH , чтобы определить свой каталог).
Мы генерируем подписи SLSA3, используя OpenSSF slsa-framework/slsa-github-generator в процессе выпуска. Чтобы проверить двоичный файл выпуска:
attestation.intoto.jsonl со страницы выпусков GitHub.slsa-verifier -artifact-path < the-zip > -provenance attestation.intoto.jsonl -source github.com/ossf/scorecard -tag < the-tag > | Менеджер пакетов | Поддерживаемое распространение | Команда |
|---|---|---|
| Никс | НикОС | nix-shell -p nixpkgs.scorecard |
| помощник АУР | Арч Линукс | Используйте помощник AUR для установки scorecard . |
| Домашнее пиво | macOS или Linux | brew install scorecard |
GitHub накладывает ограничения на скорость API для неаутентифицированных запросов. Чтобы избежать этих ограничений, вы должны аутентифицировать свои запросы перед запуском системы показателей. Существует два способа аутентификации ваших запросов: либо создать токен личного доступа GitHub, либо создать установку приложения GitHub.
public_repo . Установите токен в переменной среды с именем GITHUB_AUTH_TOKEN , GITHUB_TOKEN , GH_AUTH_TOKEN или GH_TOKEN используя приведенные ниже команды в зависимости от вашей платформы. # For posix platforms, e.g. linux, mac:
export GITHUB_AUTH_TOKEN= < your access token >
# Multiple tokens can be provided separated by comma to be utilized
# in a round robin fashion.
export GITHUB_AUTH_TOKEN= < your access token 1> , < your access token 2>
# For windows:
set GITHUB_AUTH_TOKEN= < your access token >
set GITHUB_AUTH_TOKEN= < your access token 1> , < your access token 2>ИЛИ
set или export ), показанным выше для вашей платформы. GITHUB_APP_KEY_PATH=<path to the key file on disk>
GITHUB_APP_INSTALLATION_ID=<installation id>
GITHUB_APP_ID=<app id>
Эти переменные можно получить на странице настроек разработчика GitHub.
Система показателей может запускаться с использованием только одного аргумента — URL-адреса целевого репозитория:
$ scorecard --repo=github.com/ossf-tests/scorecard-check-branch-protection-e2e
Starting [CII-Best-Practices]
Starting [Fuzzing]
Starting [Pinned-Dependencies]
Starting [CI-Tests]
Starting [Maintained]
Starting [Packaging]
Starting [SAST]
Starting [Dependency-Update-Tool]
Starting [Token-Permissions]
Starting [Security-Policy]
Starting [Signed-Releases]
Starting [Binary-Artifacts]
Starting [Branch-Protection]
Starting [Code-Review]
Starting [Contributors]
Starting [Vulnerabilities]
Finished [CI-Tests]
Finished [Maintained]
Finished [Packaging]
Finished [SAST]
Finished [Signed-Releases]
Finished [Binary-Artifacts]
Finished [Branch-Protection]
Finished [Code-Review]
Finished [Contributors]
Finished [Dependency-Update-Tool]
Finished [Token-Permissions]
Finished [Security-Policy]
Finished [Vulnerabilities]
Finished [CII-Best-Practices]
Finished [Fuzzing]
Finished [Pinned-Dependencies]
RESULTS
-------
Aggregate score: 7.9 / 10
Check scores:
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| SCORE | NAME | REASON | DOCUMENTATION/REMEDIATION |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 10 / 10 | Binary-Artifacts | no binaries found in the repo | github.com/ossf/scorecard/blob/main/docs/checks.md#binary-artifacts |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 9 / 10 | Branch-Protection | branch protection is not | github.com/ossf/scorecard/blob/main/docs/checks.md#branch-protection |
| | | maximal on development and all | |
| | | release branches | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| ? | CI-Tests | no pull request found | github.com/ossf/scorecard/blob/main/docs/checks.md#ci-tests |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | CII-Best-Practices | no badge found | github.com/ossf/scorecard/blob/main/docs/checks.md#cii-best-practices |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 10 / 10 | Code-Review | branch protection for default | github.com/ossf/scorecard/blob/main/docs/checks.md#code-review |
| | | branch is enabled | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | Contributors | 0 different companies found -- | github.com/ossf/scorecard/blob/main/docs/checks.md#contributors |
| | | score normalized to 0 | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | Dependency-Update-Tool | no update tool detected | github.com/ossf/scorecard/blob/main/docs/checks.md#dependency-update-tool |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | Fuzzing | project is not fuzzed in | github.com/ossf/scorecard/blob/main/docs/checks.md#fuzzing |
| | | OSS-Fuzz | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 1 / 10 | Maintained | 2 commit(s) found in the last | github.com/ossf/scorecard/blob/main/docs/checks.md#maintained |
| | | 90 days -- score normalized to | |
| | | 1 | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| ? | Packaging | no published package detected | github.com/ossf/scorecard/blob/main/docs/checks.md#packaging |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 8 / 10 | Pinned-Dependencies | unpinned dependencies detected | github.com/ossf/scorecard/blob/main/docs/checks.md#pinned-dependencies |
| | | -- score normalized to 8 | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | SAST | no SAST tool detected | github.com/ossf/scorecard/blob/main/docs/checks.md#sast |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 0 / 10 | Security-Policy | security policy file not | github.com/ossf/scorecard/blob/main/docs/checks.md#security-policy |
| | | detected | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| ? | Signed-Releases | no releases found | github.com/ossf/scorecard/blob/main/docs/checks.md#signed-releases |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 10 / 10 | Token-Permissions | tokens are read-only in GitHub | github.com/ossf/scorecard/blob/main/docs/checks.md#token-permissions |
| | | workflows | |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- |
| 10 / 10 | Vulnerabilities | no vulnerabilities detected | github.com/ossf/scorecard/blob/main/docs/checks.md#vulnerabilities |
| --------- | ------------------------ | -------------------------------- | --------------------------------------------------------------------------- | Для GITHUB_AUTH_TOKEN должен быть установлен действительный токен.
docker run -e GITHUB_AUTH_TOKEN=token gcr.io/openssf/scorecard:stable --show-details --repo=https://github.com/ossf/scorecardЧтобы использовать конкретную версию системы показателей (например, v3.2.1), запустите:
docker run -e GITHUB_AUTH_TOKEN=token gcr.io/openssf/scorecard:v3.2.1 --show-details --repo=https://github.com/ossf/scorecard Для получения более подробной информации о том, почему проверка не удалась, используйте опцию --show-details :
./scorecard --repo=github.com/ossf-tests/scorecard-check-branch-protection-e2e --checks Branch-Protection --show-details
Starting [Pinned-Dependencies]
Finished [Pinned-Dependencies]
RESULTS
-------
|---------|------------------------|--------------------------------|--------------------------------|---------------------------------------------------------------------------|
| SCORE | NAME | REASON | DETAILS | DOCUMENTATION/REMEDIATION |
|---------|------------------------|--------------------------------|--------------------------------|---------------------------------------------------------------------------|
| 9 / 10 | Branch-Protection | branch protection is not | Info: 'force pushes' disabled | github.com/ossf/scorecard/blob/main/docs/checks.md#branch-protection |
| | | maximal on development and all | on branch 'main' Info: 'allow | |
| | | release branches | deletion' disabled on branch | |
| | | | 'main' Info: linear history | |
| | | | enabled on branch 'main' Info: | |
| | | | strict status check enabled | |
| | | | on branch 'main' Warn: status | |
| | | | checks for merging have no | |
| | | | specific status to check on | |
| | | | branch 'main' Info: number | |
| | | | of required reviewers is 2 | |
| | | | on branch 'main' Info: Stale | |
| | | | review dismissal enabled on | |
| | | | branch 'main' Info: Owner | |
| | | | review required on branch | |
| | | | 'main' Info: 'administrator' | |
| | | | PRs need reviews before being | |
| | | | merged on branch 'main' | |
|---------|------------------------|--------------------------------|--------------------------------|---------------------------------------------------------------------------|
Аннотации сопровождающего позволяют сопровождающим добавлять контекст для отображения рядом с результатами проверки системы показателей. Аннотации могут предоставить пользователям дополнительную информацию, если система показателей содержит неполную оценку методов обеспечения безопасности проекта. Чтобы просмотреть аннотации сопровождающих для каждой проверки, используйте опцию --show-annotations .
Дополнительную информацию о доступных аннотациях или о том, как их создавать, см. в документации по конфигурации.
Чтобы запустить Scorecard в репозитории GitLab, вам необходимо создать токен доступа GitLab со следующими разрешениями:
read_apiread_userread_repository Вы можете запустить Scorecard в репозитории GitLab, установив переменную среды GITLAB_AUTH_TOKEN :
export GITLAB_AUTH_TOKEN=glpat-xxxx
scorecard --repo gitlab.com/ < org > / < project > / < subproject >Пример использования системы показателей в GitLab CI/CD см. здесь.
Хотя мы уделяем особое внимание поддержке GitLab.com, Scorecard также работает с самостоятельными установками GitLab. Если ваша платформа размещена на поддомене (например, gitlab.foo.com ), система показателей должна работать «из коробки». Если ваша платформа размещена на каком-либо пуле (например, foo.com/bar/ ), вам необходимо установить переменную среды GL_HOST .
export GITLAB_AUTH_TOKEN=glpat-xxxx
export GL_HOST=foo.com/bar
scorecard --repo foo.com/bar/ < org > / < project > Чтобы использовать хост GitHub Enterprise github.corp.com , используйте переменную среды GH_HOST .
# Set the GitHub Enterprise host without https prefix or slash with relevant authentication token
export GH_HOST=github.corp.com
export GITHUB_AUTH_TOKEN=token
scorecard --repo=github.corp.com/org/repo
# OR without github host url
scorecard --repo=org/repo Для проектов в экосистемах --npm , --pypi , --rubygems или --nuget у вас есть возможность запустить Scorecard с помощью менеджера пакетов. Укажите имя пакета, чтобы выполнить проверку соответствующего исходного кода GitHub.
Например, --npm=angular .
Чтобы запускать только определенные проверки, добавьте аргумент --checks со списком имен проверок.
Например, --checks=CI-Tests,Code-Review .
В настоящее время поддерживаются форматы default (текст) и json .
Их можно указать с помощью флага --format . Например, --format=json .
По умолчанию для целевого проекта выполняются следующие проверки:
| Имя | Описание | Уровень риска | Требуется токен | Поддержка GitLab | Примечание |
|---|---|---|---|---|---|
| Бинарные артефакты | В проекте нет зарегистрированных двоичных файлов? | Высокий | ПАТ, GITHUB_TOKEN | Поддерживается | |
| Защита ветвей | Использует ли проект Branch Protection? | Высокий | PAT ( repo или repo> public_repo ), GITHUB_TOKEN | Поддерживается (см. примечания) | определенные настройки поддерживаются только PAT сопровождающего |
| CI-тесты | Запускает ли проект тесты в CI, например GitHub Actions, Prow? | Низкий | ПАТ, GITHUB_TOKEN | Поддерживается | |
| Лучшие практики CII | Получил ли проект значок передового опыта OpenSSF (ранее CII) на проходном, серебряном или золотом уровне? | Низкий | ПАТ, GITHUB_TOKEN | Проверка | |
| Обзор кода | Проводится ли в проекте проверка кода перед объединением кода? | Высокий | ПАТ, GITHUB_TOKEN | Проверка | |
| Авторы | Есть ли в проекте участники хотя бы из двух разных организаций? | Низкий | ПАТ, GITHUB_TOKEN | Проверка | |
| Опасный рабочий процесс | Избегает ли проект опасных шаблонов кодирования в рабочих процессах GitHub Action? | Критический | ПАТ, GITHUB_TOKEN | Не поддерживается | |
| Инструмент обновления зависимостей | Использует ли проект инструменты для обновления зависимостей? | Высокий | ПАТ, GITHUB_TOKEN | Не поддерживается | |
| Фаззинг | Используются ли в проекте инструменты фаззинга, например OSS-Fuzz, QuickCheck или fast-check? | Середина | ПАТ, GITHUB_TOKEN | Проверка | |
| Лицензия | Имеет ли проект лицензию? | Низкий | ПАТ, GITHUB_TOKEN | Проверка | |
| Поддерживается | Проекту уже не менее 90 дней и поддерживается ли он? | Высокий | ПАТ, GITHUB_TOKEN | Проверка | |
| Закрепленные зависимости | Объявляет ли проект и закрепляет ли зависимости? | Середина | ПАТ, GITHUB_TOKEN | Проверка | |
| Упаковка | Создает ли проект и публикует официальные пакеты из CI/CD, например GitHub Publishing? | Середина | ПАТ, GITHUB_TOKEN | Проверка | |
| САСТ | Используются ли в проекте инструменты статического анализа кода, например CodeQL, LGTM (устарело), SonarCloud? | Середина | ПАТ, GITHUB_TOKEN | Не поддерживается | |
| Политика безопасности | Содержит ли проект политику безопасности? | Середина | ПАТ, GITHUB_TOKEN | Проверка | |
| Подписанные релизы | Подписывает ли проект релизы криптографически? | Высокий | ПАТ, GITHUB_TOKEN | Проверка | |
| Токен-Разрешения | Объявляет ли проект токены рабочего процесса GitHub только для чтения? | Высокий | ПАТ, GITHUB_TOKEN | Не поддерживается | |
| Уязвимости | Есть ли в проекте неисправленные уязвимости? Использует службу OSV. | Высокий | ПАТ, GITHUB_TOKEN | Проверка | |
| Вебхуки | Имеет ли веб-перехватчик, определенный в репозитории, токен, настроенный для аутентификации источников запросов? | Критический | PAT сопровождающего ( admin: repo_hook или admin> read:repo_hook doc | ЭКСПЕРИМЕНТАЛЬНАЯ ЧАСТЬ |
Чтобы просмотреть подробную информацию о каждой проверке, ее критериях оценки и действиях по исправлению, посетите страницу документации по проверкам.
Руководство по проверкам, которые следует использовать в начале работы, см. в руководстве для начинающих по проверкам карт показателей.
Двухфакторная аутентификация (2FA) добавляет дополнительный уровень безопасности при входе на веб-сайты или в приложения. 2FA защищает вашу учетную запись, если ваш пароль скомпрометирован, требуя вторую форму аутентификации, например, коды, отправленные через SMS или приложение для аутентификации, или прикосновение к физическому ключу безопасности.
Мы настоятельно рекомендуем вам включить 2FA во всех важных учетных записях, где она доступна. 2FA не является проверкой системы показателей, поскольку GitHub и GitLab не публикуют эти данные об учетных записях пользователей. Возможно, эти данные всегда должны оставаться конфиденциальными, поскольку учетные записи без 2FA очень уязвимы для атак.
Хотя это не официальная проверка, мы призываем всех сопровождающих проектов включить 2FA, чтобы защитить свои проекты от компрометации.
Выполните действия, описанные в разделе Настройка двухфакторной аутентификации.
Если возможно, используйте либо:
В качестве последнего варианта используйте SMS. Будьте осторожны: 2FA с использованием SMS уязвима для атаки с заменой SIM-карты.
Каждая отдельная проверка возвращает оценку от 0 до 10, где 10 представляет собой наилучшую возможную оценку. Система показателей также выдает совокупную оценку, которая представляет собой среднее значение отдельных проверок, взвешенных по риску.
См. список текущих проверок системы показателей для уровня риска каждой проверки.
Если у вас есть что-то похожее на ошибку, воспользуйтесь системой отслеживания проблем GitHub. Прежде чем сообщить о проблеме, выполните поиск по существующим проблемам, чтобы убедиться, что ваша проблема уже решена.
Прежде чем внести свой вклад, пожалуйста, следуйте нашему Кодексу поведения.
Инструкции о том, как внести свой вклад в проект, см. в документации «Вклад».
Если вы хотите добавить чек, ознакомьтесь с инструкциями здесь.
Если вы хотите принять участие в сообществе Scorecard или у вас есть идеи, о которых вы хотели бы поговорить, мы обсуждаем этот проект на собраниях рабочей группы OSSF Best Practices.
| Артефакт | Связь |
|---|---|
| Форум разработчиков системы показателей | ossf-scorecard-dev@ |
| Форум объявлений о системе показателей | ossf-scorecard-announce@ |
| Встреча сообщества ВК | Ссылка на встречу в масштабе |
| Календарь встреч сообщества | Для Азиатско-Тихоокеанского региона раз в две недели по четвергам в 13:00–14:00 по тихоокеанскому времени (публичный календарь OSSF) Видеозвонок: LFX Zoom Для стран Европы, Ближнего Востока и Африки Каждые 4 понедельника с 7:00 до 8:00 по тихоокеанскому времени (публичный календарь OSSF) Видеозвонок: LFX Zoom |
| Заметки о встрече | Примечания |
| Слабый канал | #оценочная карта |
Ответственные за поддержку перечислены в файле CODEOWNERS.
Чтобы сообщить о проблеме безопасности, следуйте инструкциям здесь.
Для Азиатско-Тихоокеанского региона раз в две недели по четвергам в 13:00–14:00 по тихоокеанскому времени (публичный календарь OSSF)
Видеозвонок: масштабирование LFX
Для стран Европы, Ближнего Востока и Африки Каждые 4 понедельника с 7:00 до 8:00 по тихоокеанскому времени (публичный календарь OSSF)
Видеозвонок: масштабирование LFX
С повесткой дня и протоколом заседания вы можете ознакомиться здесь.
Ответы на часто задаваемые вопросы о системе показателей см. в разделе «Часто задаваемые вопросы».
