Sonatyp. Business Wire
Sonatyp arbeitet nach den Prinzipien einer besseren, sichereren und schnelleren Lieferung mit Automatisierung der Software-Lieferkette. Das Unternehmen hat im vergangenen Jahr den OSS-Index erworben und nun einen automatisierten und neu gestalteten Index eingeführt Open Source Software Index Dadurch erhalten Entwickler Informationen zu OSS-Abhängigkeiten und Schwachstellen für eine fundiertere Produktentwicklung. Wie der Mitbegründer und CTO des Unternehmens, Brian Fox, erklärte, verstärkt diese neueste Version die Bemühungen des Unternehmens, Entwicklern grundlegende Ressourcen zur Verfügung zu stellen, um sicherzustellen, dass ihre Produkte starke Sicherheitssysteme enthalten, die bekannten Schwachstellen wie die Open-Source-Plattform standhalten sei in dieser Angelegenheit sehr unversöhnlich. Diese neue Einführung verspricht eine übersichtlichere Benutzeroberfläche sowie leicht verständliche und gründlich überprüfte Informationen.
Der OSS-Index von Sonatype leitet Informationen aus öffentlich veröffentlichten und bewerteten Sicherheitslücken ab und hostet 2,6 Millionen Pakete sowie Details zu 140.000 bekannten Open Source-Sicherheitslücken. Es unterstützt 7 Sprachen beim Start, vorbehaltlich einer baldigen Unterstützung. Diese Sprachen sind: Bower (JavaScript), PHP, Maven / Gradle (Java), npm (Java Script), NuGet, Puthon, RubyGems und RPM. Der Index wird in einem bestimmten Format ausgeführt. Es zeigt den Namespace an, bei dem es sich um ein beschreibendes Namenspräfix handelt, den Namen der Komponente oder des Pakets, ihre Version, andere typspezifische Qualifizierer wie Betriebssystem oder Distribution und den Unterpfad innerhalb einer Komponente relativ zum Paketstamm. Paket-URls werden in der Syntax 'Typ: Namespace / Name @ Version? Qualifizierer # Unterpfad' geschrieben, und Paket-URLs mit pkg-Schema werden in der Syntax 'pkg: Typ / Namespace / Name @ Version? Qualifizierer # Unterpfad' geschrieben. Diese Details werden im gesamten OSS-Index konsistent gehalten, um sicherzustellen, dass die Qualität der präsentierten Daten erhalten bleibt.
Der Index erleichtert auch die einfache Implementierung mit seinen vielen Open-Source-Tools, wobei die REST-API die bekannteste ist. Andere Integrationen Im Index wie dem Maven Enforcer-Plugin und OWASP Dependency Check wird die Datenbank zu einem umfassenden Informationstool für OSS-Schwachstellen. Darüber hinaus ermöglicht der Index die Integration der Toolchain in die nativen Erweiterungen und Anwendungen. Es verfügt über eine Audit.js-Integration, die npm-Projekte prüft, und der Index basiert auch auf Sonatypes eigenem The Central Repository. Neben den bereitgestellten plattformspezifischen Überwachungstools steht Entwicklern auch DevAudit zur Verfügung, ein plattformübergreifendes Open-Source-Tool für die Mehrzweck-Sicherheitsüberprüfung.
