6 semaines pour qu’un mainteneur solo vise OpenSSF Silver — rapport d’étape jusqu’à un Tiered ~133 %
(velog.io)Rapport d’étape sur la manière dont un projet open source géré par une seule personne est passé en 6 semaines de la conformité OpenSSF Best Practices passing (111 %) à une progression silver d’environ 133 %. Le seuil silver de 200 % n’est pas encore atteint — il s’agit d’un retour honnête sur cette distance restante.
En bref : parmi les quelque 80 critères MUST/SHOULD du niveau silver, les éléments qu’un mainteneur solo ne semblait pas pouvoir satisfaire structurellement (bus_factor, access_continuity, etc.) ont été déclarés UNMET sans faux-semblants, puis couverts par des schémas de justification explicitement reconnus par OpenSSF (lockbox + legal heir, justification des critères SHOULD), ce qui a permis de les faire reconnaître comme satisfaits. L’objectif du badge silver lui-même est reporté à après le cycle v0.4.
Points clés de l’article (3 lignes)
- Déclarer honnêtement UNMET est la clé de la progression. Il ne s’agit pas de dire « tout est satisfait », mais de « rendre publics sans mensonge les critères impossibles à satisfaire tout en documentant une voie de rétablissement » —
access_continuity(MUST) etbus_factor(SHOULD) ont tous deux été reconnus comme satisfaits de cette manière. - La rédaction de l’assurance case a été la partie la plus lourde et la plus gratifiante. Document de 26 KB, 47 citations file:line, avec comme effets secondaires la découverte d’une race condition et d’un oubli de vérification des autorisations.
- Documentation currency peut être satisfaite avec une simple politique, sans automatisation. Quatre références à des versions obsolètes ont été détectées avec
grep, puis une politique a été ajoutée à CONTRIBUTING.md.
Timeline des PR sur 6 semaines
| Semaine | Élément | PR |
|---|---|---|
| Week 1 | dco (remplacé par une CLA) |
#340 |
| Week 2 | code_of_conduct · governance · roles_responsibilities |
#353 |
| Week 3 | static_analysis_common_vulnerabilities |
#356 |
| Week 4 | assurance_case |
#360 |
| Week 5 | access_continuity · bus_factor |
#362 |
| Week 6 | documentation_current (+ correction de 4 cas obsolètes) |
#363 |
Ce qui n’a pas été fait (y compris l’absence de badge silver)
- Atteindre le seuil silver de 200 %. Le projet est actuellement à ~133 %, soit 33 % de progression silver. Les 67 points restants concernent des domaines d’infrastructure externes (releases signées, builds reproductibles, intégration SAST supplémentaire) et sont visés après le cycle v0.4.
- Faire réellement passer le bus factor à 2 — le mode BDFL en solo est un compromis assumé jusqu’à la v1.0
- Un doc-lint automatique — pour le prochain cycle
- La diversification du domaine — le renforcement du socle parent reste l’unique priorité jusqu’à la v1.0
Liens
- Article complet (velog) : https://velog.io/@hashevolution/…
- GitHub : https://github.com/Hashevolution/James-RAG-Evol
- Page OpenSSF (badge passing actuel, progression silver ~133 %) : https://www.bestpractices.dev/projects/12806
- PR clés : #340 / #353 / #356 / #360 / #362 / #363
Licence MIT, alpha (v0.3.0 — Platform Skeleton). Exploité par un mainteneur solo. Badge OpenSSF passing obtenu, badge silver non atteint (progression ~133 %).
Aucun commentaire pour le moment.