Sonatip. Poslovna žica
Sonatip djeluje na načelima bolje, sigurnije i brže isporuke s automatizacijom lanca opskrbe softverom. Tvrtka je kupila OSS indeks prošle godine, a sada je lansirala automatiziran i redizajniran Indeks softvera otvorenog koda koji pruža programerima informacije o OSS ovisnostima i ranjivostima za informiraniji razvoj proizvoda. Kao što je objasnio suosnivač i glavni direktor tvrtke Brian Fox, ovo najnovije izdanje priprema napore tvrtke u pružanju temeljnih resursa programerima kako bi se osiguralo da njihovi proizvodi budu domaćin jakim sigurnosnim sustavima koji mogu izdržati poznate ranjivosti kao što to može platforma otvorenog koda budite vrlo nemilosrdni u ovom pitanju. Ovo novo predstavljanje obećava čistije sučelje, kao i lako razumljive i temeljito provjerene informacije.
Sonatypeov OSS indeks izvodi podatke iz javno objavljenih i procijenjenih ranjivosti, smještajući 2,6 milijuna paketa i detalje o 140 000 poznatih ranjivosti otvorenog koda. Podržava 7 jezika pri lansiranju, pod uvjetom da će se uskoro podržati. Ovi Jezici su: Bower (JavaScript), PHP, Maven / Gradle (Java), npm (Java Script), NuGet, Puthon, RubyGems i RPM. Indeks radi na određenom formatu. Prikazuje prostor imena koji je opisni prefiks imena, naziv komponente ili paketa, njegovu verziju, druge kvalifikatore specifične za tip, poput OS-a ili distro-a, i potput unutar komponente u odnosu na korijen paketa. URL-ovi paketa napisani su u sintaksi „type: namespace / name @ version? Qualifiers # subpath“, a URL-ovi paketa sa pkg shemom napisani su u sintaksi „pkg: type / namespace / name @ version? Qualifiers # subpath“. Takvi se detalji održavaju dosljedni u cijelom OSS indeksu kako bi se osiguralo održavanje kvalitete prikazanih podataka.
Indeks također omogućuje jednostavnu implementaciju s brojnim alatima otvorenog koda, a najistaknutiji je REST API. Ostalo integracije u indeksu, kao što su dodatak Maven Enforcer i OWASP Dependency Check, čine bazu podataka sveobuhvatnim informacijskim alatom o OSS ranjivostima. Uz to, indeks omogućuje integraciju lanca alata sa svojim izvornim proširenjima i aplikacijama. Sadrži integraciju Audit.js koja revidira npm projekte, a Index također crpi iz Sonatypeova vlastitog Centralnog spremišta. Osim ponuđenih alata za reviziju specifičnih za platformu, DevAudit, višenamjenski višenamjenski alat za sigurnosnu reviziju otvorenog koda, također je dostupan i programerima.
