#sbom

Inteligência de cadeia de suprimentos e dependências de software como uma API, alimentada por deps.dev — o serviço Google Open Source Insights. Em seis ecossistemas de pacotes (npm, PyPI, Maven, Cargo, Go e NuGet), responde às perguntas que um registro não pode: o que a instalação deste pacote realmente puxa e quão saudável é o projeto por trás dele. Liste as versões publicadas de um pacote e sua versão padrão; leia as licenças declaradas de uma versão específica, as chaves de quaisquer avisos de segurança conhecidos, links úteis (repositório de origem, página inicial, rastreador de problemas) e projetos relacionados; resolva o gráfico de dependências TRANSITIVAS completo de uma versão — a contagem total de dependências, as dependências diretas e cada nó transitivo com sua versão exata resolvida e se é uma dependência direta ou indireta; e consulte o OpenSSF Scorecard de um projeto de origem — a pontuação geral de segurança mais os resultados por verificação para Mantido, Revisão de Código, Proteção de Ramo, Fluxo de Trabalho Perigoso, Vulnerabilidades e mais — junto com suas estrelas, forks, problemas abertos, licença e página inicial. Para módulos Go e artefatos Maven, o nome do pacote é o caminho completo do módulo ou grupo:artefato (codificado em URL automaticamente). Ideal para auditoria de dependências, enriquecimento de lista de materiais de software (SBOM), avaliação de risco da cadeia de suprimentos e ferramentas de conformidade de licenças. Dados de deps.dev (Google, CC-BY).

api.oanor.com/depsdev-api