Sonatype. Dây kinh doanh
Sonatype hoạt động trên nguyên tắc phân phối tốt hơn, an toàn hơn và nhanh hơn với tự động hóa chuỗi cung ứng phần mềm. Công ty đã mua lại Chỉ số OSS vào năm ngoái và hiện đã khởi chạy một hệ thống tự động và được thiết kế lại Chỉ mục phần mềm nguồn mở cung cấp cho các nhà phát triển thông tin về các lỗ hổng và phụ thuộc của PMNM để phát triển sản phẩm có thông tin hơn. Theo giải thích của Người đồng sáng lập và CTO của công ty, Brian Fox, bản phát hành mới nhất này thúc đẩy nỗ lực của công ty trong việc cung cấp cho các nhà phát triển các nguồn lực cơ bản để đảm bảo rằng sản phẩm của họ sở hữu các hệ thống bảo mật mạnh mẽ có thể chống lại các lỗ hổng đã biết như nền tảng nguồn mở có thể rất không khoan nhượng trong vấn đề này. Lần ra mắt mới này hứa hẹn một giao diện gọn gàng hơn cũng như thông tin dễ hiểu và được xác minh kỹ lưỡng.
Sonatype’s OSS Index lấy thông tin từ các lỗ hổng được đánh giá và đăng tải công khai, lưu trữ 2,6 triệu gói và thông tin chi tiết về 140.000 lỗ hổng mã nguồn mở đã biết. Nó hỗ trợ 7 ngôn ngữ khi ra mắt, có thể sẽ sớm được hỗ trợ thêm. Những ngôn ngữ là: Bower (JavaScript), PHP, Maven / Gradle (Java), npm (Java Script), NuGet, Puthon, RubyGems và RPM. Chỉ mục chạy trên một định dạng cụ thể. Nó hiển thị không gian tên là tiền tố tên mô tả, tên của thành phần hoặc gói, phiên bản của nó, các định tính loại cụ thể khác như OS hoặc bản phân phối và đường dẫn con bên trong một thành phần liên quan đến gốc gói. Các URls gói được viết theo cú pháp “type: namespace / name @ version? Qualification # subpath” và các url gói với lược đồ pkg được viết theo cú pháp “pkg: type / namespace / name @ version? Qualification # subpath”. Các chi tiết này được lưu giữ nhất quán trong suốt Chỉ số một cửa để đảm bảo rằng chất lượng dữ liệu được trình bày được duy trì.
Chỉ mục này cũng tạo điều kiện cho việc triển khai dễ dàng với nhiều công cụ nguồn mở, nổi bật nhất là API REST của nó. Khác sự tích hợp trong chỉ mục như plugin Maven Enforcer và Kiểm tra phụ thuộc OWASP làm cho cơ sở dữ liệu trở thành công cụ thông tin toàn diện về các lỗ hổng OSS. Ngoài ra, chỉ mục cho phép tích hợp chuỗi công cụ với các ứng dụng và tiện ích mở rộng gốc của nó. Nó có tích hợp Audit.js kiểm tra các dự án npm và Chỉ mục cũng lấy từ Kho lưu trữ trung tâm của chính Sonatype. Ngoài các công cụ kiểm tra nền tảng cụ thể được cung cấp, DevAudit, một công cụ kiểm tra bảo mật đa mục đích đa nền tảng mã nguồn mở, cũng có sẵn cho các nhà phát triển sử dụng.
