На этот раз мы расскажем о службе Open Source Insights, размещенной на deps.dev.
Сервис с открытым исходным кодом, который компания Google сделала общедоступным, чтобы помочь выявить уязвимости open source пакетов.
🌐 Обнаружение небезопасных зависимостей (SCA)
Проблема, связанная со сторонними пакетами программного обеспечения с открытым исходным кодом
При разработке программного обеспечения пакеты – это группы предварительно написанных модулей кода, предназначенных для выполнения определенных задач, таких как форматирование данных.
Эти модули кода экономят ценное время и ресурсы разработчиков, позволяя им не создавать каждый элемент своих программ с нуля.
Однако включение таких программных пакетов с открытым исходным кодом в программу может также привести к появлению уязвимостей.
Разработчикам сложно определить, какие уязвимые пакеты следует использовать в своих проектах.
Чтобы снизить риски, связанные с уязвимостями открытого ПО, компания Google недавно объявила о выпуске API deps.dev, который основан на инициативе по обеспечению кибербезопасности с открытым исходным кодом, начатой в 2021 году.
Этот инновационный API призван упростить процесс выявления и устранения уязвимостей в программных пакетах с открытым исходным кодом.
“Ваше программное обеспечение и ваши пользователи зависят не только от кода, который вы пишете, но и от кода, от которого зависит ваш код, кода, от которого зависит этот код, и так далее. Точное представление полного спект зависимостей имеет решающее значение для понимания состояния вашего проекта. И это не только код: вам нужно знать об уязвимостях безопасности, лицензиях, последних релизах и многом другом”.
Краткое введение в понимание открытого исходного кода (deps.dev)
Это API-сервис с открытым исходным кодом для улучшения понимания разработчиками программных пакетов с открытым исходным кодом.
Его цель – дать разработчикам полное представление о структуре, построении и безопасности пакетов программного обеспечения с открытым исходным кодом.
Изучая каждый пакет, строя подробный график его зависимостей и их свойств и предоставляя результаты всем, кто может извлечь из них пользу, сервис стремится дать разработчикам представление о том, как собрано их программное обеспечение, как оно меняется по мере изменения зависимостей и каковы могут быть последствия.
В настоящее время сервис Open Source Insights индексирует несколько экосистем пакетов, включая Cargo, Go, Maven, npm, NuGet и PyPI.
🌐 Анализ состава программного обеспечения (SCA) что такое и на что обратить внимание
Он также индексирует хосты проектов, такие как GitHub, GitLab и Bitbucket, а также рекомендации по безопасности от OSV.
Данные регулярно обновляются, чтобы обеспечить актуальность и релевантность информации, а также позволяют разработчикам оглянуться назад и увидеть, как все изменилось со временем.
npm | 3.20M |
Go | 1.00M |
Maven | 532k |
PyPI | 431k |
NuGet | 358k |
Cargo | 114k |
Разработчики могут получить доступ к этой службе несколькими способами.
Во-первых, они могут посетить веб-сайт deps.dev, где они могут искать пакеты с открытым исходным кодом, визуализировать зависимости, сравнивать версии, изучать рекомендации по безопасности и многое другое.
Кроме того, они могут создавать инструменты и интеграции с помощью Open Source Insights API, который доступен через HTTP и gRPC.
Наконец, разработчики могут обнаружить свои собственные данные, выполняя запросы к общедоступному Open Source Insights BigQuery.
Заключение
В заключение можно сказать, что сервис Google Open Source Insights – это инновационное решение для улучшения понимания разработчиками программных пакетов с открытым исходным кодом.
Предоставляя исчерпывающие данные о зависимостях пакетов и их свойствах, сервис дает разработчикам возможность принимать обоснованные решения о своем программном обеспечении и снижать потенциальные риски.
Разработчики могут получить доступ к этим данным с помощью различных средств, включая веб-сайт deps.dev, API и набор данных BigQuery.