Google представив сервіс Open Source Insights для NPM, Go, Maven, Cargo, NuGet та PyPI
Google представив сервіс Open Source Insights для NPM, Go, Maven, Cargo, NuGet і PyPI
Компанія Google представила сервіс Open Source Insights (deps.dev), який надає повний графік прямих і непрямих залежностей для посилок, розподілених через репозиторії NPM, Go, Maven і Cargo (підтримка nuGet і PyPI буде доступна незабаром). Основною метою сервісу є аналіз поширення вразливостей в модулях і бібліотеках, присутніх в ланцюжку залежностей, що може бути корисно для виявлення вразливостей в високо-вкладених залежностях (залежностях залежностей).
До можливих областей застосування також відноситься вивчення ліцензійної чистоти проекту (показується статистика, за якою ліцензії використовуються в залежностях), відстеження виходу нових версій і подій, пов'язаних з залежностями (наприклад, виявлення вразливостей) і оцінка залежних проектів (можна подивитися звіт про те, які проекти використовують цю бібліотеку безпосередньо або через інші залежності). В якості джерел даних використовуються репозиторії пакетів і дані з GitHub, включаючи Питання.
Open Source Insights показує вам всю цю інформацію про пакет, не просячи вас спочатку встановити пакет. Ви можете миттєво побачити, що може означати інсталяція пакета або оновленої версії для вашого проекту, наскільки він популярний, знайти посилання на вихідний код та іншу інформацію, а потім вирішити, чи слід його інсталювати. Insights також допомагає вам побачити важливість вашого проекту, показуючи проекти, які від нього залежать: його залежні. Навіть невеликий проект важливий, якщо від нього залежить велика кількість інших проектів або безпосередньо, або через транзитивні залежності.
Open Source Insights постійно сканує мільйони проектів в екосистемі програмного забезпечення з відкритим вихідним кодом, збираючи інформацію про пакети, включаючи ліцензування, право власності, проблеми з безпекою та інші метадані, такі як кількість завантажень, сигнали популярності та системи показників OpenSSF. Потім він будує повний графік залежностей — транзитивно відстежуючи залежності, залежності залежностей тощо — і включає метадані, а потім публікує їх, щоб ви могли побачити, як все це може вплинути на ваше програмне забезпечення. І інформація, яку він надає, постійно оновлюється.
Сьогодні Open Source Insights підтримує модулі npm, Maven, Go та Cargo. Поки ми працюємо над додаванням додаткових систем упаковки, ми хочемо почути від вас: Як ці дані можуть вписатися у ваш робочий процес розробки? Що зробило б його більш корисним? Ви можете зв'язатися з командою в deps.dev, щоб поділитися своїми думками; ми будемо збирати відгуки протягом наступних місяців і з нетерпінням чекаємо почути ваші ідеї щодо того, як найкраще покращити безпеку ланцюга поставок.
Відвідайте веб-сайт за адресою deps.dev , щоб спробувати це.
