Sonatips. Biznesa vads
Sonatips darbojas pēc labākas, drošākas un ātrākas piegādes ar programmatūras piegādes ķēdes automatizāciju principiem. Uzņēmums iegādājās OSS indeksu pagājušajā gadā, un tagad ir palaists automatizēts un pārveidots Atvērtā koda programmatūras indekss kas sniedz izstrādātājiem informāciju par OSS atkarībām un ievainojamībām, lai iegūtu vairāk informētu produktu izstrādi. Kā paskaidroja uzņēmuma līdzdibinātājs un CTO Braiens Fokss, šis jaunākais izlaidums veicina uzņēmuma centienus nodrošināt izstrādātājus ar fundamentāliem resursiem, lai nodrošinātu, ka viņu produktos atrodas spēcīgas drošības sistēmas, kas spēj izturēt zināmās ievainojamības iespējas, kā to var paveikt atvērtā koda platforma. esiet ļoti nepielūdzams šajā jautājumā. Šī jaunā palaišana sola tīrāku saskarni, kā arī viegli saprotamu un rūpīgi pārbaudītu informāciju.
Sonatype OSS indekss iegūst informāciju no publiski ievietotām un novērtētām ievainojamībām, izvietojot 2,6 miljonus paku un informāciju par 140 000 zināmām atvērtā koda ievainojamībām. Sākotnēji tā atbalsta 7 valodas, un drīz tā tiks atbalstīta. Šie valodās ir: Bower (JavaScript), PHP, Maven / Gradle (Java), npm (Java Script), NuGet, Puthon, RubyGems un RPM. Indeksam ir noteikts formāts. Tas parāda nosaukumvietu, kas ir aprakstošs nosaukuma prefikss, komponenta vai pakotnes nosaukumu, tā versiju, citus tipam raksturīgus kvalifikatorus, piemēram, OS vai distro, un apakšceļu komponentā, salīdzinot ar pakotnes sakni. Pakotnes URls tiek rakstīts sintaksē “type: namespace / name @ version? Qualifiers # subpath” un pakotnes URL ar pkg shēmu ir rakstītas sintaksē “pkg: type / namespace / name @ version? Qualifiers # subpath”. Šāda informācija tiek konsekventi saglabāta visā OSS indeksā, lai nodrošinātu iesniegto datu kvalitātes saglabāšanu.
Indekss atvieglo arī ērtu ieviešanu, izmantojot daudzos atvērtā koda rīkus, visizcilākais ir tā REST API. Cits integrācijas indeksā, piemēram, spraudnis Maven Enforcer un OWASP atkarības pārbaude, padara datu bāzi par visaptverošu informācijas rīku par OSS ievainojamībām. Papildus tam indekss ļauj integrēt rīku ķēdi ar vietējiem paplašinājumiem un lietojumprogrammām. Tajā ir iekļauta Audit.js integrācija, kas pārbauda npm projektus, un indekss tiek izmantots arī no Sonatype paša centrālā repozitorija. Izstrādātājiem ir pieejams arī DevAudit - atvērtā koda starpplatformu daudzfunkcionāls drošības audita rīks, kas nav paredzēts platformai.
