Sonatype. Business Wire
Sonatype opera com base nos princípios de entrega melhor, mais segura e mais rápida com automação da cadeia de suprimentos de software. A empresa adquiriu o Índice OSS no ano passado e agora lançou um sistema automatizado e redesenhado Índice de software de código aberto que fornece aos desenvolvedores informações sobre dependências e vulnerabilidades de software de fonte aberta para um desenvolvimento de produto mais informado. Conforme explicado pelo cofundador e CTO da empresa, Brian Fox, este último lançamento reforça os esforços da empresa em fornecer aos desenvolvedores recursos fundamentais para garantir que seus produtos hospedem sistemas de segurança fortes que podem resistir a vulnerabilidades conhecidas como a plataforma de código aberto pode seja muito implacável neste assunto. Este novo lançamento promete uma interface mais limpa, bem como informações fáceis de entender e totalmente verificadas.
O índice OSS da Sonatype deriva informações de vulnerabilidades publicadas e avaliadas, hospedando 2,6 milhões de pacotes e detalhes sobre 140.000 vulnerabilidades de código aberto conhecidas. Ele suporta 7 idiomas no lançamento, sujeito a suporte em breve. Estes línguas são: Bower (JavaScript), PHP, Maven / Gradle (Java), npm (Java Script), NuGet, Puthon, RubyGems e RPM. O índice é executado em um formato específico. Ele exibe o namespace que é um prefixo de nome descritivo, o nome do componente ou pacote, sua versão, outros qualificadores específicos de tipo, como SO ou distro, e subcaminho dentro de um componente relativo à raiz do pacote. Os URls do pacote são escritos na sintaxe “type: namespace / name @ version? Qualifiers # subpath” e os urls do pacote com o esquema pkg são escritos na sintaxe “pkg: type / namespace / name @ version? Qualifiers # subpath”. Esses detalhes são mantidos consistentes em todo o Índice OSS para garantir que a qualidade dos dados apresentados seja mantida.
O índice também facilita a implementação fácil com suas muitas ferramentas de código aberto, sendo a mais proeminente sua API REST. De outros integrações no índice, como o plug-in Maven Enforcer e o OWASP Dependency Check, tornam o banco de dados uma ferramenta completa de informações sobre vulnerabilidades de OSS. Além disso, o índice permite a integração do conjunto de ferramentas com suas extensões e aplicativos nativos. Ele apresenta uma integração Audit.js que audita projetos npm e o Index também se baseia no Repositório Central da própria Sonatype. Além das ferramentas de auditoria específicas da plataforma fornecidas, DevAudit, uma ferramenta de auditoria de segurança multiuso de plataforma cruzada de código aberto, também está disponível para uso dos desenvolvedores.
