简介：CII最佳实践徽章 - CNCF毕业标准要求之一

从沙箱或孵化状态毕业，或者作为一个新项目加入作为一个毕业项目，项目必须符合孵化阶段标准以及：

有来自至少两个机构的提交者。
已经实现并维护了核心基础结构计划（CII）的最佳实践徽章。
采用CNCF行为准则。
明确定义项目治理和提交者流程。这最好在GOVERNANCE.md文件中进行，并引用OWNERS.md文件显示当前和荣誉提交者。
至少在主要仓库提供项目采用者的公开列表（例如，ADOPTERS.md文件或项目网站上的徽标）。
获得TOC的绝对多数选票进入毕业阶段。如果项目能够表现出足够的成熟度，项目可以尝试直接从沙箱移动到毕业。项目可以无限期地保持在孵化状态，但通常预计在两年内毕业。

CII最佳实践徽章计划

Linux基金会（LF）的核心基础设施计划（Core Infrastructure Initiative，CII）最佳实践徽章是Free/Libre和开源软件（FLOSS）项目用于表明它们遵循最佳实践的一种方式。项目可以自愿进行自我认证，通过使用此Web应用程序来解释他们如何遵循每种最佳实践。CII最佳实践徽章的灵感来自GitHub项目众多可获得的徽章系统。徽章的使用者可以快速评估哪些FLOSS项目遵循最佳实践，因而更有可能生成更高质量的安全软件。

最佳实践标准“合格”（"passing"）级别摘要

这是合格标准的摘要，有关详细信息，请参阅完整的标准列表：

有一个稳定的网站，说名：
- 它做什么
- 如何获得
- 如何提供反馈
- 如何贡献和首选风格
明确指定FLOSS许可证
项目网站支持HTTPS
文档记录如何安装和运行（安全地）以及任何API
有分布式公共版本控制系统，包括版本之间的变化：
- 使用语义版本控制格式为每个发布提供唯一版本
- 提供每个发布的更改摘要，识别任何已修复的漏洞
允许提交、存档和跟踪错误报告：
- 确认/响应错误和增强请求，而不是忽略它们
- 有安全的、记录在案的流程来报告漏洞
- 在14天内回复，并在60天内修复漏洞，如果漏洞是公开的
使用标准的开源工具作有效的构建
- 启用（并修复）编译器警告和类似lint的检查
- 执行其他静态分析工具并修复可被攻击利用的问题
拥有涵盖大部分代码/功能的自动化测试套件，并正式要求对新代码进行新的测试
自动运行所有更改的测试，并应用动态检查：
- 执行内存/行为分析工具（sanitizers/Valgrind等）
- 执行模糊测试器（fuzzer）或Web扫描程序
有开发者了解安全软件和常见漏洞错误
如果使用加密：
使用公共协议/算法
- 不要重新实现标准功能
- 使用开源加密技术
- 使用保持安全的密钥长度
- 不要使用已知损坏或已知弱算法
- 使用具有前向保密性的算法
- 使用密钥拉伸算法，使用迭代、加盐和哈希值存储任何密码
- 使用加密随机数源