Sebastian Kawelke (4c4d0fc4) at 17 Mar 16:12

Tim Bastin (26eead74) at 16 Mar 17:29

Tim Bastin (7abcf93d) at 16 Mar 17:10

Tim Bastin (517077c3) at 16 Mar 16:49

Tim Bastin (d4a89193) at 16 Mar 16:48

Tim Bastin (a3f76f0c) at 16 Mar 16:45

... and 21 more commits

https://diataxis.fr/start-here/

Fokus

• letztes Jahr: Badge ist für Beschaffung für Open Source / es geht darum Qualität zeigen
• dieses Jahr: Badge bekommt den Character, dass sie Teil des SLDC ist -> Sie ist Teil der Kette um Lieferkettenproblematrik zu lösen (DevGuard, Badge, ...).
• Doku: warum gibt es Check / Narrative immer im Kopf haben

TOOD:

• openCode Software-Katalog -> umbenennen in Softwareverzeichnis und mit Link hinterlegen
• Einheitliche Schreibweise von BadgeReport und Badge Report -> Entscheidung auf BadgeReport
• Begriffe größtenteils auf Deutsch oder wollen wir möglichst viele Begriffe auf Englisch lassen? -> bevorzugt auf Deutsch
• CycloneDX BOM und SPDX mit in Glossar aufnehmen (Beispiel)
• Falls irgendwo BADGE (vollständig upper-case) irgendwo ist -> raus damit
• Mehrsprachigkeit (Nachgelagert - Prio C) -> https://gitlab.opencode.de/open-code/internal/pmo/security-scanner/-/issues/142
  • en.mdx, de.mdx und index.mdx ist "identisch"
  • URLs (Pfade) müssen immer in Landessprache sein
• sidebar_position kann weg? wird noch benötigt
• Überblick über implementierte Checks überarbeiten
  • Seite sollte nur Implementierte Checks heißen
  • Kurze Erklärung aus beiden Sichten
    • Zielgruppe: Badge Nutzer auf openCode
    • Zielgruppe: Anwender die für ihre eigene Infrastruktur/Anwendungen Badges erstellen und definieren wollen -> mit Verweis auf "Self hosting"
• Verlinkung mit container.gov.de -> Lieferketten Badge ist erforderlich für container.gov.de -> Es gibt eine Rego Policy die prüft ob ein Projekt die Lieferkettenbadge hat oder nicht (aktuell ein zweistufiger und teils manueller Prozess -> approval durch Julian)
  • Beispiel der Rego Policy (von container gov) nutzen, um zu beschreiben, warum die Lieferkettenbadge so wichtig ist (container gov als case study anführen)
  • https://gitlab.opencode.de/open-code/oci/landing-page/-/blob/main/data-generation/container.gov.de.rego
• Abschnitt zu Source Provenance schreiben (inkl. Beschreibung unsere Tools was wir gebaut haben)
• Scroll zu Abschnitt scrollt zu weit
• Link Checker CI Komponente einbauen Link
• Verweise auf Anleitungen in den Explanations hinzufügen: Lieferketten Badge: /explanation/implemented-checks/container-attestation-bronze/ und Security Level 3
• Links zu externen Seiten im Glossar

Struktur

• Explanation: (Explanatory guides provide context and background)
  • Badges
    • Alle Badges beschreiben und was sie machen
  • Implementierte Checks inkl. Hintergrundwissen
  • Attestations
    • Beschreibung was Attestations sind und warum diese wichtig sind (Inkl. Wertung und Perspektive)
• How-to guides: (A how-to guide addresses a real-world goal or problem, by providing practical directions to help the user who is in that situation.)
  • How to get Badge XYZ
    • für alle Badges auflisten was erforderlich ist? -> On-Demand erweitern
    • TODO: oder wollen wir das lieber zu den Referenzen bringen?
  • How to Container Attestation
    • Erklären wie man den Source Provenance Attestation Service integriert https://gitlab.opencode.de/open-code/badgebackend/source-provenance-attestation-service
  • How to DevGuard Setup
  • Self hosting -> alle Informationen zum Selbst hosten (Helm Charts, verweis auf Konfigurationsdatei, ..)
    • Fokus auf wie man es einrichtet und zum Laufen bringt
  • hier Code auch mit drin haben, der die Entwickler an die Hand nimmt (mit Copy & Paste)
• References (Reference guides contain the technical description)
  • Konfigurationsdatei
    • Beschreibung was genau die einzelnen Konfigurationseinträge bedeuten und machen
  • API
    • Hier das V1 entfernen so lange es keine V2 gibt
    • Sarif pro Repo / Erklärung einer Badge beschrieben den gleichen Endpunkt.. macht das Sinn?
• Tutorials (A tutorial is a lesson, that takes a student by the hand through a learning experience)
  • ??

Tim Bastin (550c776e) at 16 Mar 16:32

Tim Bastin (f7a9a6a5) at 16 Mar 16:27

Tim Bastin (abe4bcb6) at 16 Mar 16:26

... and 3 more commits

Tim Bastin (a3f76f0c) at 14 Mar 21:11

Tim Bastin (650f6f4e) at 14 Mar 21:10

Tim Bastin (a87120e1) at 14 Mar 16:50

Tim Bastin (6e766e03) at 14 Mar 10:54

Tim Bastin (1eac649e) at 14 Mar 10:24

Tim Bastin (42cc9d87) at 14 Mar 10:23