Szonatípus. Üzleti vezeték
Szonatípus a jobb, biztonságosabb és gyorsabb szállítás elvein működik a szoftver-ellátási lánc automatizálásával. A vállalat tavaly szerezte meg az OSS Indexet, és most elindított egy automatizált és újratervezett terméket Nyílt forráskódú szoftverindex amely információkat nyújt a fejlesztőknek az OSS-függőségekről és a sebezhetőségekről a tájékozottabb termékfejlesztés érdekében. Amint azt a társaság társalapítója és technológiai vezetője, Brian Fox kifejtette, ez a legújabb kiadás elősegíti a vállalat erőfeszítéseit a fejlesztők számára alapvető erőforrások biztosításában annak biztosítása érdekében, hogy termékeik olyan erős biztonsági rendszereket tároljanak, amelyek képesek ellenállni az ismert biztonsági réseknek, mint a nyílt forráskódú platform légy nagyon könyörtelen ebben a kérdésben. Ez az új bevezetés tisztább felületet, valamint könnyen érthető és alaposan ellenőrizhető információkat ígér.
A Sonatype OSS indexe nyilvánosan közzétett és értékelt biztonsági résekből származik, 2,6 millió csomagot és 140 000 ismert nyílt forráskódú sebezhetőséget tartalmaz. Indításkor 7 nyelvet támogat, amely hamarosan újabb támogatást igényel. Ezek nyelveket a következők: Bower (JavaScript), PHP, Maven / Gradle (Java), npm (Java Script), NuGet, Puthon, RubyGems és RPM. Az index egy adott formátumon fut. Megjeleníti a névteret, amely egy leíró név előtag, az összetevő vagy a csomag nevét, annak verzióját, egyéb típus-specifikus minősítőket, például operációs rendszert vagy disztrót, valamint az összetevőn belüli alutat a csomaggyökérhez viszonyítva. A csomag URl-eket a „type: névtér / név @ verzió? Minősítő # alútvonal” szintaxisba írják, a pkg sémával rendelkező csomag URL-eket pedig a „pkg: típus / névtér / név @ verzió? Minősítők # alútvonal” szintaxisba írják. Ezeket a részleteket az OSS Index egészében konzisztensen őrzik, hogy biztosítsák a bemutatott adatok minőségének fenntartását.
Az index a sok nyílt forráskódú eszközzel is megkönnyíti a könnyű bevezetést, a legkiemelkedőbb a REST API. Egyéb integrációk az indexben, például a Maven Enforcer plugin és az OWASP Dependency Check, az adatbázist átfogó információs eszközzé teszik az OSS biztonsági réseivel kapcsolatban. Ezenkívül az index lehetővé teszi az eszközlánc integrációját a natív kiterjesztésekkel és alkalmazásokkal. Tartalmaz egy Audit.js integrációt, amely az npm projekteket ellenőrzi, és az Index a Sonatype saját központi adattárából is merít. A platformspecifikus naplózási eszközökön kívül a DevAudit, egy nyílt forráskódú, több platformot átfogó, többcélú biztonsági ellenőrzési eszköz is elérhető a fejlesztők számára.
