ソナタイプ。ビジネスワイヤー
ソナタイプ ソフトウェアサプライチェーンの自動化により、より良く、より安全で、より速い配信の原則に基づいて動作します。同社は昨年OSSインデックスを取得し、現在、自動化され再設計されたものを発売しました オープンソースソフトウェアインデックス これは、より多くの情報に基づいた製品開発のためのOSSの依存関係と脆弱性に関する情報を開発者に提供します。同社の共同創設者兼CTOであるBrianFoxが説明したように、この最新リリースは、開発者に基本的なリソースを提供して、オープンソースプラットフォームのように既知の脆弱性に耐えることができる強力なセキュリティシステムを製品がホストできるようにするという同社の取り組みを強化しています。この問題については非常に寛容ではありません。この新しいローンチは、よりクリーンなインターフェースと、理解しやすく徹底的に検証された情報を約束します。
SonatypeのOSSインデックスは、公開され評価された脆弱性から情報を導き出し、260万のパッケージと、140,000の既知のオープンソースの脆弱性に関する詳細をホストしています。リリース時に7つの言語をサポートしますが、まもなくサポートされる予定です。これら 言語 Bower(JavaScript)、PHP、Maven / Gradle(Java)、npm(Java Script)、NuGet、Puthon、RubyGems、RPMです。インデックスは特定の形式で実行されます。わかりやすい名前プレフィックスである名前空間、コンポーネントまたはパッケージの名前、そのバージョン、OSやディストリビューションなどの他のタイプ固有の修飾子、およびパッケージルートに関連するコンポーネント内のサブパスが表示されます。パッケージURlは「type:namespace / name @ version?qualifiers#subpath」構文で記述され、pkgスキームを使用したパッケージURLは「pkg:type / namespace / name @ version?qualifiers#subpath」構文で記述されます。このような詳細は、提示されるデータの品質が維持されることを保証するために、OSSインデックス全体で一貫性が保たれています。
このインデックスは、多くのオープンソースツールを使用して簡単に実装することもできます。最も有名なのはRESTAPIです。その他 統合 MavenEnforcerプラグインやOWASPDependency Checkなどのインデックスで、データベースをOSSの脆弱性に関する総合的な情報ツールにします。これに加えて、インデックスは、ネイティブの拡張機能およびアプリケーションとのツールチェーン統合を可能にします。これは、npmプロジェクトを監査するAudit.js統合を特徴としており、インデックスはSonatype独自の中央リポジトリからも取得されます。提供されているプラットフォーム固有の監査ツールの他に、オープンソースのクロスプラットフォーム多目的セキュリティ監査ツールであるDevAuditも開発者が使用できます。
