Сонатип. Деловой провод
Сонатип работает на принципах лучшей, безопасной и быстрой доставки за счет автоматизации цепочки поставок программного обеспечения. Компания приобрела индекс OSS в прошлом году и теперь запустила автоматизированный и переработанный Индекс программного обеспечения с открытым исходным кодом который предоставляет разработчикам информацию о зависимостях и уязвимостях OSS для более информированной разработки продукта. Как пояснил соучредитель и технический директор компании Брайан Фокс, этот последний выпуск усиливает усилия компании по предоставлению разработчикам фундаментальных ресурсов, чтобы гарантировать, что их продукты являются хостом для надежных систем безопасности, которые могут противостоять известным уязвимостям, как платформа с открытым исходным кодом. будьте очень непримиримы в этом вопросе. Этот новый запуск обещает более чистый интерфейс, а также простую для понимания и тщательно проверенную информацию.
Индекс OSS компании Sonatype извлекает информацию из публично опубликованных и оцениваемых уязвимостей, содержащих 2,6 миллиона пакетов и подробную информацию о 140 000 известных уязвимостей с открытым исходным кодом. На момент запуска он поддерживает 7 языков, но в ближайшее время будет добавлена поддержка. Эти языки являются: Bower (JavaScript), PHP, Maven / Gradle (Java), npm (Java Script), NuGet, Puthon, RubyGems и RPM. Индекс работает в определенном формате. Он отображает пространство имен, которое представляет собой описательный префикс имени, имя компонента или пакета, его версию, другие квалификаторы, зависящие от типа, такие как ОС или дистрибутив, и подпути внутри компонента относительно корня пакета. UR-адреса пакетов записываются в синтаксисе «type: namespace / name @ version? Qualifiers # subpath», а URL-адреса пакетов со схемой pkg записываются в синтаксисе «pkg: type / namespace / name @ version? Qualifiers # subpath». Такие детали сохраняются в соответствии с индексом OSS, чтобы гарантировать поддержание качества представленных данных.
Индекс также упрощает внедрение благодаря многочисленным инструментам с открытым исходным кодом, наиболее известным из которых является REST API. разное интеграции в индексе, таком как плагин Maven Enforcer и проверка зависимостей OWASP, делают базу данных универсальным информационным инструментом об уязвимостях OSS. В дополнение к этому, индекс позволяет интегрировать инструментальную цепочку с собственными расширениями и приложениями. В нем реализована интеграция Audit.js, которая проверяет проекты npm, а индекс также использует собственный центральный репозиторий Sonatype. Помимо предоставленных инструментов аудита для конкретных платформ, DevAudit, кроссплатформенный многоцелевой инструмент аудита безопасности с открытым исходным кодом, также доступен для разработчиков.
