Odprtokodni indeks ranljivosti, ki vsebuje 140.000 ranljivosti, ki ga je sprožil Sonatype

Varnost / Odprtokodni indeks ranljivosti, ki vsebuje 140.000 ranljivosti, ki ga je sprožil Sonatype 1 minuta branja

Sonatype. Poslovna žica



Sonatype deluje po načelih boljše, varnejše in hitrejše dostave z avtomatizacijo dobavne verige programske opreme. Podjetje je lani pridobilo indeks OSS, zdaj pa je uvedlo avtomatizirano in preoblikovano Odprtokodni indeks programske opreme ki razvijalcem zagotavlja informacije o odvisnostih in ranljivostih OSS za bolj utemeljen razvoj izdelkov. Kot je pojasnil soustanovitelj podjetja in tehnični direktor Brian Fox, ta zadnja izdaja usmerja prizadevanja podjetja, da razvijalcem nudi temeljne vire, s katerimi zagotavlja, da so njihovi izdelki gostitelji močnih varnostnih sistemov, ki lahko vzdržijo znane ranljivosti, kot lahko odprtokodna platforma pri tej zadevi bodite zelo neusmiljeni. Ta nova predstavitev obljublja čistejši vmesnik ter enostavne za razumevanje in temeljito preverjene informacije.

Sonatypeov indeks OSS pridobiva informacije iz javno objavljenih in ocenjenih ranljivosti, saj gosti 2,6 milijona paketov in podrobnosti o 140.000 znanih odprtokodnih ranljivostih. Ob zagonu podpira 7 jezikov, vendar bo kmalu na voljo tudi več jezikov. Te jezikov so: Bower (JavaScript), PHP, Maven / Gradle (Java), npm (Java Script), NuGet, Puthon, RubyGems in RPM. Kazalo deluje v določeni obliki. Prikaže imenski prostor, ki je opisna predpona imena, ime komponente ali paketa, njegovo različico, druge kvalifikatorje, značilne za tip, kot sta OS ali distro, in podpot znotraj komponente glede na koren paketa. URL-ji paketa so zapisani v sintaksi »type: namespace / name @ version? Qualifiers # subpath«, naslovi paketa s shemo pkg pa v sintaksi »pkg: type / namespace / name @ version? Qualifiers # subpath«. Takšne podrobnosti so dosledne v celotnem indeksu OSS, da se ohrani kakovost predstavljenih podatkov.



Indeks omogoča tudi enostavno izvajanje s številnimi odprtokodnimi orodji, med katerimi je najpomembnejši njegov REST API. Drugo integracije v indeksu, kot sta vtičnik Maven Enforcer in OWASP Dependency Check, naredi bazo podatkov vsestransko informacijsko orodje za ranljivosti OSS. Poleg tega indeks omogoča integracijo orodjarne z lastnimi razširitvami in aplikacijami. Odlikuje jo integracija Audit.js, ki pregleduje npm projekte, indeks pa črpa tudi iz Sonatypejevega centralnega skladišča. Razen razvijalnih orodij, ki so na voljo za platformo, je razvijalcem na voljo tudi DevAudit, odprtokodno večplastno večnamensko orodje za revizijo varnosti.