Sonatype. Business Wire
Sonatype opera según los principios de una entrega mejor, más segura y más rápida con la automatización de la cadena de suministro de software. La empresa adquirió el índice OSS el año pasado y ahora ha lanzado un sistema automatizado y rediseñado. Índice de software de código abierto que proporciona a los desarrolladores información sobre las dependencias y vulnerabilidades de OSS para un desarrollo de productos más informado. Como lo explicó el cofundador y director de tecnología de la compañía, Brian Fox, esta última versión prepara los esfuerzos de la compañía para proporcionar a los desarrolladores recursos fundamentales para garantizar que sus productos alberguen sistemas de seguridad sólidos que puedan soportar vulnerabilidades conocidas como lo hace la plataforma de código abierto. Sea muy implacable en este asunto. Este nuevo lanzamiento promete una interfaz más limpia, así como información fácil de entender y completamente verificada.
El índice OSS de Sonatype deriva información de vulnerabilidades publicadas y evaluadas, que aloja 2.6 millones de paquetes y detalles sobre 140,000 vulnerabilidades de código abierto conocidas. Admite 7 idiomas en el momento del lanzamiento, sujeto a que se admitirá más pronto. Estas idiomas son: Bower (JavaScript), PHP, Maven / Gradle (Java), npm (Java Script), NuGet, Puthon, RubyGems y RPM. El índice se ejecuta en un formato particular. Muestra el espacio de nombres, que es un prefijo de nombre descriptivo, el nombre del componente o paquete, su versión, otros calificadores específicos de tipo, como SO o distribución, y la subruta dentro de un componente en relación con la raíz del paquete. Las URL de los paquetes se escriben en la sintaxis “type: namespace / name @ version? Qualifiers # subpath” y las URL de los paquetes con el esquema pkg se escriben en la sintaxis “pkg: type / namespace / name @ version? Qualifiers # subpath”. Dichos detalles se mantienen consistentes en todo el índice OSS para garantizar que se mantenga la calidad de los datos presentados.
El índice también facilita la implementación con sus muchas herramientas de código abierto, siendo la más destacada su API REST. Otro integraciones en el índice, como el complemento Maven Enforcer y OWASP Dependency Check, hacen de la base de datos una herramienta de información completa sobre las vulnerabilidades de OSS. Además de esto, el índice permite la integración de la cadena de herramientas con sus extensiones y aplicaciones nativas. Cuenta con una integración Audit.js que audita proyectos npm y el índice también se basa en el repositorio central de Sonatype. Aparte de las herramientas de auditoría específicas de la plataforma proporcionadas, DevAudit, una herramienta de auditoría de seguridad multiplataforma multipropósito de código abierto, también está disponible para que la utilicen los desarrolladores.
