#supply-chain

Δημιουργήστε κατακερματισμούς Υποακεραιότητας Πόρων (SRI) για οποιοδήποτε πόρο ιστού, ώστε τα προγράμματα περιήγησης να μπορούν να επαληθεύσουν ότι ένα σενάριο ή φύλλο στυλ που φιλοξενείται σε CDN δεν έχει παραποιηθεί. Παρέχετε μια διεύθυνση URL και η υπηρεσία ανακτά τον πόρο και επιστρέφει τους κατακερματισμούς SRI sha256, sha384 και sha512, την επιλεγμένη τιμή ακεραιότητας (sha384 από προεπιλογή, ή περάστε τον αλγόριθμο που προτιμάτε), το μέγεθος και τον τύπο περιεχομένου του πόρου, και μια έτοιμη προς επικόλληση ετικέτα <script> ή <link> με τα χαρακτηριστικά integrity και crossorigin. Ένα τελικό σημείο επαλήθευσης ανακτά ξανά τον πόρο και σας λέει αν εξακολουθεί να ταιριάζει με μια γνωστή συμβολοσειρά ακεραιότητας — εντοπίζοντας σιωπηλές αλλαγές CDN ή παραβιάσεις της εφοδιαστικής αλυσίδας πριν τις αντιμετωπίσουν οι χρήστες σας. Το αίτημα γίνεται από την πλευρά του διακομιστή· οι ιδιωτικοί και εσωτερικοί στόχοι απορρίπτονται (προστασία SSRF). Κατασκευασμένο για την ασφάλεια σεναρίων τρίτων, την ενίσχυση της εφοδιαστικής αλυσίδας, τις γραμμές παραγωγής και τη συμμόρφωση με CSP/SRI. Ένας δημιουργός και επαληθευτής Υποακεραιότητας Πόρων — διακριτός από την ακατέργαστη κρυπτογραφική κατακερματισμό δεδομένων εισόδου (hash), τον βαθμολογητή κεφαλίδων ασφαλείας HTTP (secheaders) και τον έλεγχο πιστοποιητικού SSL/TLS (sslcheck). Χωρίς ανάντη κλειδί, χωρίς προσωρινή αποθήκευση.

api.oanor.com/sri-api

Πληροφορίες για την αλυσίδα εφοδιασμού λογισμικού και εξαρτήσεων ως API, με τη δύναμη του deps.dev — της υπηρεσίας Open Source Insights της Google. Σε έξι οικοσυστήματα πακέτων (npm, PyPI, Maven, Cargo, Go και NuGet) απαντά σε ερωτήσεις που ένα μητρώο δεν μπορεί: τι πραγματικά εισάγει η εγκατάσταση αυτού του πακέτου και πόσο υγιές είναι το έργο πίσω από αυτό. Καταγράψτε τις δημοσιευμένες εκδόσεις ενός πακέτου και την προεπιλεγμένη έκδοσή του· διαβάστε τις δηλωμένες άδειες μιας συγκεκριμένης έκδοσης, τα κλειδιά τυχόν γνωστών συμβουλών ασφαλείας, χρήσιμους συνδέσμους (αποθετήριο πηγαίου κώδικα, αρχική σελίδα, ιχνηλάτης ζητημάτων) και σχετικά έργα· αναλύστε το πλήρες ΜΕΤΑΒΑΤΙΚΟ γράφημα εξαρτήσεων μιας έκδοσης — τον συνολικό αριθμό εξαρτήσεων, τις άμεσες εξαρτήσεις και κάθε μεταβατικό κόμβο με την ακριβή επιλυμένη έκδοσή του και αν είναι άμεση ή έμμεση εξάρτηση· και αναζητήστε το OpenSSF Scorecard ενός έργου πηγής — τη συνολική βαθμολογία ασφαλείας συν τα αποτελέσματα ανά έλεγχο για Maintained, Code-Review, Branch-Protection, Dangerous-Workflow, Vulnerabilities και άλλα — μαζί με τα αστέρια του, τα forks, τα ανοιχτά ζητήματα, την άδεια και την αρχική σελίδα. Για ενότητες Go και τεχνουργήματα Maven, το όνομα πακέτου είναι η πλήρης διαδρομή ενότητας ή group:artifact (κωδικοποιημένο URL αυτόματα). Ιδανικό για έλεγχο εξαρτήσεων, εμπλουτισμό λίστας υλικού λογισμικού (SBOM), αξιολόγηση κινδύνου αλυσίδας εφοδιασμού και εργαλεία συμμόρφωσης αδειών. Δεδομένα από deps.dev (Google, CC-BY).

api.oanor.com/depsdev-api

Η βάση δεδομένων Open Source Vulnerabilities (OSV / osv.dev) ως API — ο έλεγχος ασφάλειας εφοδιαστικής αλυσίδας για ανοιχτού κώδικα εξαρτήσεις. Σαρώστε οποιαδήποτε έκδοση πακέτου (PyPI, npm, Go, crates.io, Maven, NuGet, RubyGems, Packagist, Hex και άλλα) και μάθετε άμεσα αν επηρεάζεται από γνωστές ευπάθειες, με τη σοβαρότητα κάθε συμβουλής, βαθμολογία CVSS, ψευδώνυμα CVE, αδυναμία CWE και αναφορές· καταγράψτε κάθε συμβουλή που έχει δημοσιευθεί ποτέ για ένα πακέτο· και αναζητήστε μία μόνο συμβουλή (GHSA, PYSEC, GO, RUSTSEC, CVE…) με πλήρεις λεπτομέρειες, συμπεριλαμβανομένων των επηρεαζόμενων πακέτων και εκδόσεων. Ζωντανά από την επίσημη βάση δεδομένων OSV.dev της Google, η οποία συγκεντρώνει GitHub Security Advisories, PyPA, RustSec, Go και πολλές άλλες πηγές. Ιδανικό για σάρωση εξαρτήσεων, SBOM και εργαλεία εφοδιαστικής αλυσίδας, πύλες ασφάλειας CI και πίνακες devsecops. Ανοιχτά δεδομένα.

api.oanor.com/osv-api