1人で運営するオープンソースが OpenSSF Best Practices の passing(111%) から Silver 進捗 約133% まで、6週間でどのように到達したかの中間報告。Silver のカットオフである 200% にはまだ到達していない — その距離を率直に見つめた振り返り。
要点: 80件あまりの Silver-tier MUST/SHOULD 項目のうち、1人のメンテナでは構造的に満たせないように見える項目(bus_factor、access_continuity など)を 偽りなく UNMET と記載し、その上で OpenSSF が明示的に認めている正当化パターン(lockbox + legal heir、SHOULD criterion justification)を重ねる方式 で、当該項目を met と認定してもらった。Silver バッジ自体は v0.4 cycle 以降の目標。
記事の核心(3行)
- UNMET を正直に記載することが進捗の鍵。 「全部満たした」ではなく「満たせない項目を偽りなく公開しつつ回復経路を文書化する」—
access_continuity(MUST) とbus_factor(SHOULD) の両方がこの方法で met と認定。 - Assurance case の作成が最も重く、最もやりがいがあった。 26 KB の文書、47件の file:line 引用、副次効果として race condition 1件 + 権限チェック漏れ 1件を発見。
- Documentation currency は自動化なしでもポリシーだけで met にできる。 古いバージョン参照 4件を grep で見つけ、CONTRIBUTING.md にポリシーを新設。
6週間の PR タイムライン
| 週 | 項目 | PR |
|---|---|---|
| Week 1 | dco (CLAで代替) |
#340 |
| Week 2 | code_of_conduct · governance · roles_responsibilities |
#353 |
| Week 3 | static_analysis_common_vulnerabilities |
#356 |
| Week 4 | assurance_case |
#360 |
| Week 5 | access_continuity · bus_factor |
#362 |
| Week 6 | documentation_current (+ 古い参照4件を修正) |
#363 |
何をしなかったか(Silver バッジ未達成を含む)
- Silver のカットオフ 200% 到達。 現在は約133%で、Silver 進捗は 33% の地点。残る 67%p は外部インフラ領域(署名付きリリース、再現可能ビルド、追加の SAST 統合)なので、v0.4 cycle 以降の目標。
- bus factor を実際に 2 へ引き上げること — 1人 BDFL モードは v1.0 まで意図されたトレードオフ
- 自動 doc-lint — 次の cycle
- ドメイン分化 — 母体の強化が v1.0 まで唯一の優先事項
リンク
- 本文 (velog): https://velog.io/@hashevolution/…
- GitHub: https://github.com/Hashevolution/James-RAG-Evol
- OpenSSF ページ(現在 passing バッジ、Silver 進捗 約133%): https://www.bestpractices.dev/projects/12806
- 主要 PR: #340 / #353 / #356 / #360 / #362 / #363
MIT ライセンス、alpha (v0.3.0 — Platform Skeleton)。1人メンテナ運営。OpenSSF passing バッジ保有、Silver バッジは未達成(進捗 約133%)。
まだコメントはありません。