Relatório intermediário de como um projeto open source operado por uma única pessoa avançou, em 6 semanas, de OpenSSF Best Practices passing (111%) para progresso silver de ~133%. Ainda não chegou ao cutoff de 200% para silver — uma retrospectiva que examina essa distância com honestidade.
Resumo: entre cerca de 80 itens MUST/SHOULD do nível silver, os itens que um maintainer solo aparentemente não conseguiria satisfazer estruturalmente (bus_factor, access_continuity etc.) foram marcados como UNMET sem mentir, e por cima disso foi aplicada a forma de justificativa explicitamente reconhecida pela OpenSSF (lockbox + legal heir, SHOULD criterion justification), fazendo com que esses itens fossem reconhecidos como met. O badge silver em si fica como meta para depois do ciclo v0.4.
Pontos principais do texto (3 linhas)
- Marcar UNMET com honestidade é a chave do progresso. Não é “satisfiz tudo”, e sim “divulgar sem mentir os itens que não podem ser satisfeitos, mas documentar um caminho de recuperação” — tanto
access_continuity(MUST) quantobus_factor(SHOULD) foram reconhecidos como met dessa forma. - Escrever o assurance case foi a parte mais pesada e mais recompensadora. Documento de 26 KB, 47 citações file:line, e como efeito colateral foram encontrados 1 race condition + 1 ausência de verificação de permissão.
- Documentation currency pode ser atendido só com política, sem automação. Quatro referências de versão desatualizadas foram encontradas com grep e uma nova política foi adicionada ao CONTRIBUTING.md.
Linha do tempo de PRs em 6 semanas
| Semana | Item | PR |
|---|---|---|
| Week 1 | dco (substituído por CLA) |
#340 |
| Week 2 | code_of_conduct · governance · roles_responsibilities |
#353 |
| Week 3 | static_analysis_common_vulnerabilities |
#356 |
| Week 4 | assurance_case |
#360 |
| Week 5 | access_continuity · bus_factor |
#362 |
| Week 6 | documentation_current (+ correção de 4 itens stale) |
#363 |
O que não foi feito (incluindo não alcançar o badge silver)
- Chegar ao cutoff de 200% para silver. Atualmente em ~133%, no ponto de 33% do progresso silver. Os 67 p.p. restantes estão em áreas de infraestrutura externa (releases assinadas, builds reproduzíveis, integração SAST adicional), então a meta fica para depois do ciclo v0.4.
- Elevar de fato o bus factor para 2 — o modo BDFL de uma pessoa só é um trade-off intencional até o v1.0
- doc-lint automatizado — próximo ciclo
- Diferenciação de domínio — fortalecer a base principal é a única prioridade até o v1.0
Links
- Texto completo (velog): https://velog.io/@hashevolution/…
- GitHub: https://github.com/Hashevolution/James-RAG-Evol
- Página da OpenSSF (badge passing atual, progresso silver de ~133%): https://www.bestpractices.dev/projects/12806
- PRs principais: #340 / #353 / #356 / #360 / #362 / #363
Licença MIT, alpha (v0.3.0 — Platform Skeleton). Operado por um maintainer solo. Possui o badge OpenSSF passing, mas ainda não alcançou o badge silver (progresso de ~133%).
Ainda não há comentários.