Sonatüüp. Äritraat
Sonatüüp töötab tarkvara tarneahela automatiseerimise abil parema, turvalisema ja kiirema edastamise põhimõtetel. Ettevõte omandas OSS-i indeksi eelmisel aastal ja on nüüd käivitanud automatiseeritud ja ümber kujundatud Avatud lähtekoodiga tarkvara register mis pakub arendajatele teavet OSS-i sõltuvuste ja haavatavuste kohta teadlikuma tootearenduse jaoks. Nagu selgitas ettevõtte asutaja ja juhtivtöötaja Brian Fox, täiendab see viimane väljaanne ettevõtte jõupingutusi arendajatele põhiressursside pakkumisel, tagamaks, et nende toodetes on tugevad turvasüsteemid, mis taluvad teadaolevaid haavatavusi, kui avatud lähtekoodiga platvorm suudab ole selles küsimuses väga andestamatu. See uus turule toomine lubab puhtamat liidest ning hõlpsasti mõistetavat ja põhjalikult kontrollitavat teavet.
Sonatype'i OSS-i register saab teavet avalikult postitatud ja hinnatud haavatavustest, majutades 2,6 miljonit paketti ja üksikasju 140 000 teadaoleva avatud lähtekoodiga haavatavuse kohta. See toetab käivitamisel seitset keelt, mis võib peagi rohkem toetada. Need keeltes on: Bower (JavaScript), PHP, Maven / Gradle (Java), npm (Java Script), NuGet, Puthon, RubyGems ja RPM. Indeks töötab kindla vorminguga. See kuvab nimeruumi, mis on kirjeldav nime eesliide, komponendi või paketi nime, selle versiooni, muid tüübispetsiifilisi täpsustajaid, näiteks OS või distro, ja alamteed komponendis paketi juure suhtes. Paketi UR-id on kirjutatud süntaksis „type: nimeruum / nimi @ versioon? Kvalifikaatorid # alamtee' ja pkg-skeemiga paketi URL-id on kirjutatud süntaksisse 'pkg: tüüp / nimeruum / nimi @ versioon? Kvalifikaatorid # alamrada'. Selliseid üksikasju hoitakse kogu OSS-i indeksis ühtsena, et tagada esitatud andmete kvaliteedi säilimine.
Samuti hõlbustab register hõlpsat rakendamist paljude avatud lähtekoodiga tööriistadega, millest silmapaistvam on REST API. Muu integratsioonid indeksis, näiteks Maven Enforceri pistikprogramm ja OWASPi sõltuvuse kontroll, muudavad andmebaasi OSS-i haavatavuste igakülgseks teabevahendiks. Lisaks sellele võimaldab indeks integreerida tööriistaketti oma kohalike laienduste ja rakendustega. Sellel on Audit.js-i integreerimine, mis kontrollib npm-i projekte ja register pärineb ka Sonatype'i enda keskhoidlast. Lisaks pakutavatele platvormispetsiifilistele audititööriistadele on arendajatele kasutamiseks saadaval ka avatud lähtekoodiga platvormidevaheline mitmeotstarbeline turbeauditi tööriist DevAudit.
