6 Wochen, in denen ein Solo-Maintainer OpenSSF Silver anstrebt — Zwischenbericht bis Tiered ~133%
(velog.io)Ein Zwischenbericht darüber, wie ein von einer Einzelperson betriebenes Open-Source-Projekt in 6 Wochen von OpenSSF Best Practices passing (111%) auf einen Silver-Fortschritt von ~133% gekommen ist. Der Silver-Cutoff von 200% ist noch nicht erreicht — eine ehrliche Rückschau auf diese Distanz.
Kernaussage: Unter den rund 80 MUST-/SHOULD-Kriterien der Silver-Stufe gibt es Punkte, die ein Solo-Maintainer strukturell kaum erfüllen kann (bus_factor, access_continuity usw.). Diese wurden ohne Beschönigung als UNMET markiert und anschließend mit von OpenSSF ausdrücklich anerkannten Begründungsmustern (lockbox + legal heir, SHOULD criterion justification) unterlegt, sodass sie als erfüllt anerkannt wurden. Das Silver-Badge selbst ist als Ziel nach dem v0.4-Zyklus vorgesehen.
Kernpunkte des Artikels (3 Zeilen)
- Der Schlüssel zum Fortschritt ist, UNMET ehrlich zu markieren. Nicht „alles erfüllt“, sondern „nicht erfüllbare Punkte offenlegen und den Wiederherstellungspfad dokumentieren“ — sowohl
access_continuity(MUST) als auchbus_factor(SHOULD) wurden auf diese Weise als erfüllt anerkannt. - Das Schreiben des Assurance Case war am aufwendigsten und am lohnendsten. Ein 26-KB-Dokument mit 47 file:line-Zitaten; als Nebeneffekt wurden 1 Race Condition und 1 fehlende Berechtigungsprüfung entdeckt.
- Documentation currency kann auch ohne Automatisierung nur über Richtlinien als erfüllt gelten. 4 veraltete Versionsverweise wurden per grep gefunden und in
CONTRIBUTING.mdeine neue Richtlinie ergänzt.
6-Wochen-PR-Zeitachse
| Woche | Punkt | PR |
|---|---|---|
| Week 1 | dco (durch CLA ersetzt) |
#340 |
| Week 2 | code_of_conduct · governance · roles_responsibilities |
#353 |
| Week 3 | static_analysis_common_vulnerabilities |
#356 |
| Week 4 | assurance_case |
#360 |
| Week 5 | access_continuity · bus_factor |
#362 |
| Week 6 | documentation_current (+ 4 veraltete Einträge behoben) |
#363 |
Was nicht getan wurde (einschließlich nicht erreichtem Silver-Badge)
- Den Silver-Cutoff von 200% erreichen. Aktuell bei ~133%, also 33% Fortschritt in Richtung Silver. Die verbleibenden 67 Prozentpunkte betreffen externe Infrastruktur (signierte Releases, reproduzierbare Builds, zusätzliche SAST-Integration) und sind als Ziel nach dem v0.4-Zyklus vorgesehen.
- Den Bus Factor tatsächlich auf 2 erhöhen — der 1-Person-BDFL-Modus ist bis v1.0 ein bewusst eingegangener Trade-off.
- Automatisches Doc-Lint — im nächsten Zyklus
- Aufspaltung der Domäne — die Stärkung des Mutterprojekts bleibt bis v1.0 die einzige Priorität
Links
- Volltext (velog): https://velog.io/@hashevolution/…
- GitHub: https://github.com/Hashevolution/James-RAG-Evol
- OpenSSF-Seite (derzeit Passing-Badge, Silver-Fortschritt ~133%): https://www.bestpractices.dev/projects/12806
- Wichtige PRs: #340 / #353 / #356 / #360 / #362 / #363
MIT-Lizenz, Alpha (v0.3.0 — Platform Skeleton). Betrieb durch einen Solo-Maintainer. OpenSSF Passing-Badge vorhanden, Silver-Badge noch nicht erreicht (Fortschritt ~133%).
Noch keine Kommentare.