Update GitHub Content - Githubissues

New Text for the following documents.

CONTRIBUTING.md https://github.com/ssc-spc-ccoe-cei/azure-guardrails-solution-accelerator/blob/main/CONTRIBUTING.md needs to be updated to the following text.

Contributing

This project welcomes contributions and suggestions via GitHub’s issue/bug submission. Note: If there are any questions related but do not involve a code bug or issue you can email SSC Cloud Security Compliance: cloudsecuritycompliance-conformiteinfonuagiquesecurise@ssc-spc.gc.ca.

Most contributions require you to agree to a Contributor License Agreement (CLA) declaring that you have the right to, and actually do, grant us the rights to use your contribution. For details, visit https://cla.opensource.microsoft.com/. Commits are not accepted to the main branch. You may do a Pull Request (PR) from a forked repository. You will not be able to push a branch directly. We also have two SSC reviewers required to review all PRs.

When you submit a pull request, a CLA bot will automatically determine whether you need to provide a CLA and decorate the PR appropriately (e.g., status check, comment). Simply follow the instructions provided by the bot. You will only need to do this once across all repos using our CLA.

This project has adopted the Microsoft Open-Source Code of Conduct. For more information, refer to the Code of Conduct Frequently Asked Questions (FAQs) or contact opencode@microsoft.com with any additional questions or comments.

Contribuer

Ce projet accueille les contributions et les suggestions via la soumission de problème / bogue de GitHub. Remarque : S’il y a des questions liées mais n’impliquent pas de bogue ou de problème de code, vous pouvez envoyer un courriel à Conformité à la sécurité infonuagique de SPC : cloudsecuritycompliance-conformiteinfonuagiquesecurise@ssc-spc.gc.ca.

La plupart des contributions exigent que vous acceptiez une entente de licence de contributeur « Contributor License Agreement (CLA) » déclarant que vous avez le droit de nous accorder les droits d’utiliser votre contribution, et que vous le faites réellement. Pour plus de détails, visitez https://cla.opensource.microsoft.com/.

Les « commits » ne sont pas acceptés à la branche principale. Vous pouvez effectuer une demande de tirage « pull request (PR) » à partir d’un référentiel fourché. Vous ne pourrez pas pousser une branche directement. Nous avons également deux examinateurs de SPC tenus d’examiner tous les PR.

Lorsque vous soumettez une PR, un robot « bot » CLA déterminera automatiquement si vous devez fournir un CLA et décorer la PR de manière appropriée (par exemple, vérification de l’état, commentaire). Il suffit de suivre les instructions fournies par le « bot ». Vous n’aurez besoin de le faire qu’une seule fois dans tous les référentiels en utilisant notre CLA.

Ce projet a adopté le Code de conduite « open-source » de Microsoft. Pour plus d’informations, consultez la foire aux questions sur le code de conduite ou contactez opencode@microsoft.com pour toute question ou commentaire supplémentaire.

LICENSE https://github.com/ssc-spc-ccoe-cei/azure-guardrails-solution-accelerator/blob/main/LICENSE needs to add the following text to the existing license from MS.

The MIT License has been modified based on Shared Services Canada (SSC) Cloud Security Compliance (CSC) development.

The MIT License

Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the “Software”), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions:

The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software. THE SOFTWARE IS PROVIDED “AS IS”, WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

La licence MIT a été modifiée en fonction du développement de Conformité à la sécurité infonuagique (CSI) de Services partagés Canada (SPC).

Droits d’auteur 2024 Gouvernement du Canada

La licence MIT

L’autorisation est accordée par les présentes, à titre gratuit, à toute personne obtenant une copie de ce logiciel et des fichiers de documentation associés (le « Logiciel »), d’utiliser le Logiciel sans restriction, y compris, mais sans s’y limiter, les droits d’utiliser, de copier, de modifier, de fusionner, de publier, de distribuer, de concéder en sous licence et/ou de vendre des copies du Logiciel, et de permettre aux personnes à qui le Logiciel est fourni de le faire, sous réserve des conditions suivantes : L’avis de droit d’auteur ci-dessus et cet avis d’autorisation doivent être inclus dans toutes les copies ou portions substantielles du Logiciel.

LE LOGICIEL EST FOURNI « TEL QUEL », SANS GARANTIE D’AUCUNE SORTE, EXPRESSE OU IMPLICITE, Y COMPRIS, MAIS SANS S’Y LIMITER, AUX GARANTIES DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER ET D’ABSENCE DE CONTREFAÇON. EN AUCUN CAS, LES AUTEURS OU LES DÉTENTEURS DES DROITS D’AUTEUR NE POURRONT ÊTRE TENUS RESPONSABLES DE TOUTE RÉCLAMATION, DE TOUT DOMMAGE OU DE TOUTE AUTRE RESPONSABILITÉ, QUE CE SOIT DANS LE CADRE D’UNE ACTION CONTRACTUELLE, DÉLICTUELLE OU AUTRE, DÉCOULANT DU LOGICIEL OU DE L’UTILISATION OU D’AUTRES TRANSACTIONS DU LOGICIEL.

SECURITY.md: https://github.com/ssc-spc-ccoe-cei/azure-guardrails-solution-accelerator/blob/main/SECURITY.md needs to be updated to:

Reporting Security Issues

To report a security issue, email cloudsecuritycompliance-conformiteinfonuagiquesecurise@ssc-spc.gc.ca and include the word "SECURITY" in the subject line.

Please include the requested information listed below (as much as you can provide) to help us better understand the nature and scope of the possible issue:

Type of issue (e.g. buffer overflow, SQL injection, cross-site scripting, etc.)
Full paths of source file(s) related to the manifestation of the issue
The location of the affected source code [tag/branch/commit or direct Uniform Resource Locator (URL)]
Any special configuration required to reproduce the issue
Step-by-step instructions to reproduce the issue
Proof-of-concept or exploit code (if possible)
Impact of the issue, including how an attacker might exploit the issue

This information will help us triage your issue more quickly.

The Shared Services Canada (SSC) Cloud Security Compliance (CSC) team will send a response indicating the next steps in handling your issue. After the initial reply to your issue, the SSC CSC team will keep you informed of the progress towards a fix and full announcement, and may ask for additional information or guidance.

Signalement des problèmes de sécurité

Pour signaler un problème de sécurité, envoyez un courriel à cloudsecuritycompliance-conformiteinfonuagiquesecurise@ssc-spc.gc.ca et ajoutez le mot « SÉCURITÉ » à la ligne d’objet.

Veuillez inclure les informations demandées ci-dessous (dans la mesure où vous pouvez les fournir) pour nous aider à mieux comprendre la nature et l’étendue du problème possible :

Type de problème (par exemple, débordement de la mémoire tampon, injection SQL, script intersite, etc.)
Chemins d’accès complets au(x) fichier(s) source(s) associé(s) à la manifestation du problème
L’emplacement du code source concerné [étiquette/branche/commit ou Localisateur de ressources uniforme (URL) directe]
Toute configuration spéciale requise pour reproduire le problème
Instructions étape par étape pour reproduire le problème
Preuve de concept ou code d’exploitation (si possible)
Impact du problème, y compris la façon dont un attaquant pourrait exploiter le problème

Ces informations nous aideront à trier votre problème plus rapidement.

L’équipe du Conformité à la sécurité infonuagique (CSI) de Services partagés Canada (SPC) enverra une réponse indiquant les prochaines étapes de la gestion de votre problème. Après la réponse initiale à votre problème, l’équipe CSI de SPC vous tiendra au courant des progrès vers une solution et l’annonce complète, et peut demander des informations ou des conseils supplémentaires.

SUPPORT.md: https://github.com/ssc-spc-ccoe-cei/azure-guardrails-solution-accelerator/blob/main/SUPPORT.md needs to be updated to:

The Shared Services Canada (SSC) Cloud Security Compliance (CSC) team is the first point of contact to provide support for the Compliance as Code (CaC) solution. Cloud Security Compliance (CSC) Incident Management Support

Leads engagement with client.
Reviews alerts and incidents raised by way of CSC mailbox notifications
Reviews Compliance as Code reports and processes them accordingly.
Single point of contact via CSC mailbox, which is monitored daily.

CSC Support Business Hours: (Monday – Friday 8:00 AM – 5:00 PM EST) Email: cloudsecuritycompliance-conformiteinfonuagiquesecurise@ssc-spc.gc.ca

L’équipe Conformité à la sécurité infonuagique (CSI) de Services partagés Canada (SPC) est le premier point de contact pour fournir du soutien pour la solution Conformité en tant que code (CC). Support de la gestion des incidents Conformité à la sécurité infonuagique (CSI)

Dirige l’intégration avec le client.
Examine les alertes et les incidents signalés au moyen des notifications de la boîte aux lettres de CSI.
Examine les rapports de Conformité en tant que code et les traitent en conséquence.
Point de contact unique via la boîte aux lettres de CSI, qui est surveillée quotidiennement.

Heures d’ouverture du support de CSI : (Lundi – Vendredi 8:00 AM – 5:00 PM HNE) Courriel : cloudsecuritycompliance-conformiteinfonuagiquesecurise@ssc-spc.gc.ca

Code of Conduct https://github.com/ssc-spc-ccoe-cei/azure-guardrails-solution-accelerator/blob/main/CODE_OF_CONDUCT.md update to:

Code of Conduct

Do not store private or sensitive data in GitHub. This includes passwords, keys, personal data, private configuration data. If you think you pushed anything private to GitHub, consider it compromised and notify your manager.
Repositories should be public unless there is a compelling reason to keep it private. Starting with a public repo and making the source code open from the beginning is much easier than starting as a closed source project are then attempting to open source it when it's "ready". If you're unsure, ask your manager.
The Government of Canada position on Open Source is to open source code by default when possible:

Open First Whitepaper

Guide for Publishing Open Source Code

Projects that are no longer maintained should be Archived instead of deleted.
Do not commit code directly to the main branch. The recommended practice is to create a feature branch and a pull request when your code is ready to be merged.
Repositories should be given a useful name that describes the project. For example, terraform-module-eks-cluster is more appropriate than eks.
Repository names should be all lowercase and use a hyphen instead of an underscore.

Code de conduite

Ne stockez pas de données privées ou sensibles dans GitHub. Cela inclut les mots de passe, les clés, les données personnelles, les données de configuration privées. Si vous pensez avoir poussé quelque chose de privé vers GitHub, considérez-le comme compromis et informez-en votre gestionnaire.
Les référentiels doivent être publics, à moins qu’il n’y ait une raison impérieuse de les garder privés. Il est beaucoup plus facile de commencer avec un référentiel public et de rendre le code « source open » dès le début que de commencer par un projet « open source » qui tente ensuite de l’ouvrir lorsqu’il est « prêt ». Si vous n’êtes pas certain, demandez à votre gestionnaire.
La position du gouvernement du Canada à l’égard de « open source » est d’ouvrir le code source par défaut lorsque cela est possible :

Logiciels libres - Contribution

Guide pour la publication du code source libre

Les projets qui ne sont plus maintenus doivent être archivés Archivage au lieu d’être supprimés.
Ne pas faire un « commit » de code directement dans la branche principale. Il est recommandé de créer une branche de fonctionnalité et une demande de tirage lorsque votre code est prêt à être fusionné.
Les référentiels doivent recevoir un nom utile qui décrit le projet. Par exemple, « terraform-module-eks-cluster » est plus approprié que « eks ».
Les noms des référentiels doivent être tous en minuscules et utiliser un trait d’union au lieu d’un trait de soulignement « underscore ».

ssc-spc-ccoe-cei / azure-guardrails-solution-accelerator