Sonatype. Business Wire
Sonatype operează pe principiile unei livrări mai bune, mai sigure și mai rapide cu automatizarea lanțului de aprovizionare cu software. Compania a achiziționat Indexul OSS anul trecut și acum a lansat un sistem automatizat și reproiectat Open Source Software Index care oferă dezvoltatorilor informații despre dependențele și vulnerabilitățile OSS pentru o dezvoltare mai informată a produsului. După cum a explicat cofondatorul și CTO-ul companiei, Brian Fox, această ultimă versiune intensifică eforturile companiei de a oferi dezvoltatorilor resurse fundamentale pentru a se asigura că produsele lor găzduiesc sisteme de securitate puternice care pot rezista vulnerabilităților cunoscute, deoarece platforma open source poate fii foarte neiertător în această chestiune. Această nouă lansare promite o interfață mai curată, precum și informații ușor de înțeles și verificate temeinic.
Indexul OSS Sonatype obține informații din vulnerabilități postate și evaluate public, găzduind 2,6 milioane de pachete și detalii despre 140.000 de vulnerabilități open source cunoscute. Suportă 7 limbi la lansare, sub rezerva susținerii mai curând. Aceste limbi sunt: Bower (JavaScript), PHP, Maven / Gradle (Java), npm (Java Script), NuGet, Puthon, RubyGems și RPM. Indexul rulează pe un anumit format. Afișează spațiul de nume care este un prefix descriptiv al numelui, numele componentei sau pachetului, versiunea acestuia, alte calificative specifice tipului, cum ar fi sistemul de operare sau distro, și subpath într-o componentă relativă la rădăcina pachetului. Pachetele URL sunt scrise în sintaxa „type: namespace / name @ version? Qualifiers # subpath” și adresele URL pachet cu schemă pkg sunt scrise în sintaxa „pkg: type / namespace / name @ version? Qualifiers # subpath”. Astfel de detalii sunt păstrate consecvente în întregul index OSS pentru a se asigura că calitatea datelor prezentate este menținută.
De asemenea, indexul facilitează implementarea ușoară cu numeroasele sale instrumente open source, cel mai proeminent fiind API-ul REST. Alte integrări în index, cum ar fi plugin-ul Maven Enforcer și OWASP Dependency Check, fac din baza de date un instrument de informare complet despre vulnerabilitățile OSS. În plus, indexul permite integrarea lanțului de instrumente cu extensiile și aplicațiile sale native. Dispune de o integrare Audit.js care auditează proiectele npm, iar Indexul trage și din propriul depozit central Sonatype. În afară de instrumentele de audit specifice platformei furnizate, DevAudit, un instrument de audit multi-scop de securitate multi-platformă open-source, este de asemenea disponibil pentru dezvoltatori.
