#supply-chain

Genera hashes de Subresource Integrity (SRI) para cualquier activo web, de modo que los navegadores puedan verificar que un script u hoja de estilo alojado en una CDN no ha sido manipulado. Pasa una URL y el servicio obtiene el activo y devuelve sus hashes SRI sha256, sha384 y sha512, el valor de integridad elegido (sha384 por defecto, o pasa tu algoritmo preferido), el tamaño y tipo de contenido del activo, y una etiqueta <script> o <link> lista para pegar con los atributos integrity y crossorigin. Un endpoint de verificación vuelve a obtener el activo y te dice si aún coincide con una cadena de integridad conocida, detectando cambios silenciosos en la CDN o manipulación en la cadena de suministro antes de que tus usuarios los encuentren. La solicitud se realiza del lado del servidor; los destinos privados e internos son rechazados (protegido contra SSRF). Construido para asegurar scripts de terceros, endurecer la cadena de suministro, pipelines de compilación y cumplimiento de CSP/SRI. Un generador y verificador de Subresource Integrity — distinto del hash criptográfico en bruto de datos de entrada (hash), el calificador de encabezados de seguridad HTTP (secheaders) y la verificación de certificados SSL/TLS (sslcheck). Sin clave upstream, sin caché.

api.oanor.com/sri-api

Inteligência de cadeia de suprimentos e dependências de software como uma API, alimentada por deps.dev — o serviço Google Open Source Insights. Em seis ecossistemas de pacotes (npm, PyPI, Maven, Cargo, Go e NuGet), responde às perguntas que um registro não pode: o que a instalação deste pacote realmente puxa e quão saudável é o projeto por trás dele. Liste as versões publicadas de um pacote e sua versão padrão; leia as licenças declaradas de uma versão específica, as chaves de quaisquer avisos de segurança conhecidos, links úteis (repositório de origem, página inicial, rastreador de problemas) e projetos relacionados; resolva o gráfico de dependências TRANSITIVAS completo de uma versão — a contagem total de dependências, as dependências diretas e cada nó transitivo com sua versão exata resolvida e se é uma dependência direta ou indireta; e consulte o OpenSSF Scorecard de um projeto de origem — a pontuação geral de segurança mais os resultados por verificação para Mantido, Revisão de Código, Proteção de Ramo, Fluxo de Trabalho Perigoso, Vulnerabilidades e mais — junto com suas estrelas, forks, problemas abertos, licença e página inicial. Para módulos Go e artefatos Maven, o nome do pacote é o caminho completo do módulo ou grupo:artefato (codificado em URL automaticamente). Ideal para auditoria de dependências, enriquecimento de lista de materiais de software (SBOM), avaliação de risco da cadeia de suprimentos e ferramentas de conformidade de licenças. Dados de deps.dev (Google, CC-BY).

api.oanor.com/depsdev-api

The Open Source Vulnerabilities database (OSV / osv.dev) as an API — the supply-chain security check for open-source dependencies. Scan any package version (PyPI, npm, Go, crates.io, Maven, NuGet, RubyGems, Packagist, Hex and more) and instantly learn whether it is affected by known vulnerabilities, with each advisory's severity, CVSS score, CVE aliases, CWE weakness and references; list every advisory ever published for a package; and look up a single advisory (GHSA, PYSEC, GO, RUSTSEC, CVE…) in full detail, including the affected packages and version ranges. Live from Google's official OSV.dev database, which aggregates GitHub Security Advisories, PyPA, RustSec, Go and many other sources. Ideal for dependency scanning, SBOM and supply-chain tooling, CI security gates and devsecops dashboards. Open data.

api.oanor.com/osv-api