Informe intermedio de cómo un proyecto open source operado por una sola persona pasó en 6 semanas de OpenSSF Best Practices passing (111%) a un avance silver de ~133%. Todavía no alcanza el cutoff de silver de 200% — una retrospectiva que examina con honestidad esa distancia.
Punto clave: entre unos 80 criterios MUST/SHOULD del nivel silver, los que parecen estructuralmente imposibles de cumplir para un maintainer en solitario (bus_factor, access_continuity, etc.) se marcaron honestamente como UNMET, y sobre eso se aplicó el patrón de justificación que OpenSSF reconoce explícitamente (lockbox + legal heir, justificación de criterio SHOULD) para que esos criterios fueran aceptados como met. La insignia silver en sí queda como objetivo para después del ciclo v0.4.
Lo esencial del texto (3 líneas)
- Marcar UNMET con honestidad es la clave del avance. No se trata de “cumplimos todo”, sino de “hacer públicos sin mentir los criterios que no se pueden cumplir y documentar una ruta de recuperación” — tanto
access_continuity(MUST) comobus_factor(SHOULD) fueron reconocidos como met de esta forma. - Redactar el assurance case fue lo más pesado y también lo más gratificante. Documento de 26 KB, 47 citas de file:line y, como efecto secundario, se detectaron 1 race condition + 1 omisión en la verificación de permisos.
- Documentation currency puede marcarse como met solo con políticas, sin automatización. Se detectaron 4 referencias a versiones obsoletas con grep y se añadió una política nueva en CONTRIBUTING.md.
Línea de tiempo de PRs en 6 semanas
| Semana | Criterio | PR |
|---|---|---|
| Week 1 | dco (sustituido por CLA) |
#340 |
| Week 2 | code_of_conduct · governance · roles_responsibilities |
#353 |
| Week 3 | static_analysis_common_vulnerabilities |
#356 |
| Week 4 | assurance_case |
#360 |
| Week 5 | access_continuity · bus_factor |
#362 |
| Week 6 | documentation_current (+ fix de 4 casos stale) |
#363 |
Qué no se hizo (incluido no alcanzar la insignia silver)
- Alcanzar el cutoff silver de 200%. Actualmente está en ~133%, es decir, en el punto de 33% de avance silver. El 67%p restante corresponde a infraestructura externa (signed releases, reproducible builds, integración adicional de SAST), así que queda como meta para después del ciclo v0.4.
- Subir de verdad el bus factor a 2 — el modo BDFL de una sola persona es un trade-off intencional hasta v1.0
- Auto doc-lint — para el siguiente ciclo
- Diversificación del dominio — reforzar la base es la única prioridad hasta v1.0
Enlaces
- Texto principal (velog): https://velog.io/@hashevolution/…
- GitHub: https://github.com/Hashevolution/James-RAG-Evol
- Página de OpenSSF (actualmente con insignia passing, avance silver de ~133%): https://www.bestpractices.dev/projects/12806
- PRs clave: #340 / #353 / #356 / #360 / #362 / #363
Licencia MIT, alpha (v0.3.0 — Platform Skeleton). Operado por un maintainer en solitario. Tiene la insignia OpenSSF passing, pero no ha alcanzado la insignia silver (avance ~133%).
Aún no hay comentarios.