#supply-chain

Generieren Sie Subresource Integrity (SRI)-Hashes für jedes Web-Asset, damit Browser überprüfen können, ob ein von einem CDN gehostetes Skript oder Stylesheet nicht manipuliert wurde. Übergeben Sie eine URL, und der Dienst ruft das Asset ab und gibt seine sha256-, sha384- und sha512-SRI-Hashes zurück, den gewählten Integritätswert (standardmäßig sha384, oder übergeben Sie Ihren bevorzugten Algorithmus), die Größe und den Inhaltstyp des Assets sowie ein fertiges <script>- oder <link>-Tag mit den Attributen integrity und crossorigin. Ein Verify-Endpunkt ruft das Asset erneut ab und teilt Ihnen mit, ob es noch mit einem bekannten Integritätsstring übereinstimmt – und erkennt so stille CDN-Änderungen oder Lieferkettenmanipulationen, bevor Ihre Benutzer darauf stoßen. Die Anfrage wird serverseitig durchgeführt; private und interne Ziele werden abgelehnt (SSRF-geschützt). Entwickelt für die Sicherung von Drittanbieter-Skripten, Härtung der Lieferkette, Build-Pipelines und CSP/SRI-Compliance. Ein Subresource Integrity-Generator und -Verifizierer – abgegrenzt vom rohen kryptografischen Hashen von Eingabedaten (hash), dem HTTP-Sicherheitsheader-Bewerter (secheaders) und der SSL/TLS-Zertifikatsprüfung (sslcheck). Kein Upstream-Key, kein Cache.

api.oanor.com/sri-api

Software-Supply-Chain- und Abhängigkeitsintelligenz als API, unterstützt von deps.dev – Googles Open Source Insights-Dienst. Über sechs Paket-Ökosysteme (npm, PyPI, Maven, Cargo, Go und NuGet) beantwortet es Fragen, die ein Register nicht beantworten kann: Was zieht die Installation dieses Pakets tatsächlich nach sich und wie gesund ist das dahinterstehende Projekt? Listen Sie die veröffentlichten Versionen eines Pakets und seine Standardversion auf; lesen Sie die deklarierten Lizenzen einer bestimmten Version, die Schlüssel bekannter Sicherheitshinweise, nützliche Links (Quellcode-Repository, Homepage, Issue-Tracker) und verwandte Projekte; lösen Sie den vollständigen TRANSITIVEN Abhängigkeitsgraphen einer Version auf – die Gesamtzahl der Abhängigkeiten, die direkten Abhängigkeiten und jeden transitiven Knoten mit seiner exakten aufgelösten Version und ob es sich um eine direkte oder indirekte Abhängigkeit handelt; und schlagen Sie den OpenSSF Scorecard eines Quellprojekts nach – die Gesamtsicherheitsbewertung plus Ergebnisse pro Prüfung für Maintained, Code-Review, Branch-Protection, Dangerous-Workflow, Vulnerabilities und mehr – zusammen mit seinen Sternen, Forks, offenen Issues, Lizenz und Homepage. Für Go-Module und Maven-Artefakte ist der Paketname der vollständige Modulpfad oder group:artifact (automatisch URL-kodiert). Ideal für Abhängigkeitsaudits, SBOM-Anreicherung, Supply-Chain-Risikobewertung und Lizenz-Compliance-Tools. Daten von deps.dev (Google, CC-BY).

api.oanor.com/depsdev-api

Die Open Source Vulnerabilities-Datenbank (OSV / osv.dev) als API – die Supply-Chain-Sicherheitsprüfung für Open-Source-Abhängigkeiten. Scannen Sie jede Paketversion (PyPI, npm, Go, crates.io, Maven, NuGet, RubyGems, Packagist, Hex und mehr) und erfahren Sie sofort, ob sie von bekannten Schwachstellen betroffen ist, mit dem Schweregrad jeder Empfehlung, CVSS-Score, CVE-Aliasen, CWE-Schwäche und Referenzen; listen Sie alle jemals für ein Paket veröffentlichten Empfehlungen auf; und schlagen Sie eine einzelne Empfehlung (GHSA, PYSEC, GO, RUSTSEC, CVE…) im vollständigen Detail nach, einschließlich der betroffenen Pakete und Versionsbereiche. Live aus Googles offizieller OSV.dev-Datenbank, die GitHub Security Advisories, PyPA, RustSec, Go und viele andere Quellen aggregiert. Ideal für Abhängigkeitsscans, SBOM und Supply-Chain-Tooling, CI-Sicherheitsgates und DevSecOps-Dashboards. Offene Daten.

api.oanor.com/osv-api