#supply-chain

Genereer Subresource Integrity (SRI)-hashes voor elk webasset, zodat browsers kunnen verifiëren dat een via CDN gehost script of stylesheet niet is gemanipuleerd. Geef een URL door en de service haalt het asset op en retourneert de sha256-, sha384- en sha512-SRI-hashes, de gekozen integriteitswaarde (standaard sha384, of geef uw voorkeursalgoritme door), de grootte en het inhoudstype van het asset, en een kant-en-klare <script>- of <link>-tag met de integriteits- en crossorigin-attributen. Een verifieer-eindpunt haalt het asset opnieuw op en vertelt u of het nog steeds overeenkomt met een bekende integriteitsstring — waarbij stille CDN-wijzigingen of supply-chain-manipulatie worden opgemerkt voordat uw gebruikers ermee in aanraking komen. Het verzoek wordt server-side gedaan; privé- en interne doelen worden geweigerd (SSRF-beveiligd). Gebouwd voor het beveiligen van scripts van derden, supply-chain-hardening, build-pipelines en CSP/SRI-naleving. Een Subresource Integrity-generator en -verificateur — te onderscheiden van ruwe cryptografische hashing van invoergegevens (hash), de HTTP-beveiligingsheader-grader (secheaders) en de SSL/TLS-certificaatcontrole (sslcheck). Geen upstream-sleutel, geen cache.

api.oanor.com/sri-api

Software supply-chain en dependency intelligence als API, aangedreven door deps.dev — Google's Open Source Insights-service. Over zes pakket-ecosystemen (npm, PyPI, Maven, Cargo, Go en NuGet) beantwoordt het de vragen die een register niet kan: wat installeert dit pakket eigenlijk, en hoe gezond is het project erachter? Toon de gepubliceerde versies van een pakket en de standaardversie; lees de gedeclareerde licenties van een specifieke versie, de sleutels van bekende beveiligingsadviezen, nuttige links (bronrepository, homepage, issue tracker) en gerelateerde projecten; los de volledige TRANSITIEVE afhankelijkheidsgrafiek van een versie op — het totale aantal afhankelijkheden, de directe afhankelijkheden en elke transitieve node met de exacte opgeloste versie en of het een directe of indirecte afhankelijkheid is; en zoek de OpenSSF Scorecard van een bronproject op — de algemene beveiligingsscore plus per-check resultaten voor Maintained, Code-Review, Branch-Protection, Dangerous-Workflow, Vulnerabilities en meer — naast de sterren, forks, openstaande issues, licentie en homepage. Voor Go-modules en Maven-artefacten is de pakketnaam het volledige modulepad of group:artifact (automatisch URL-gecodeerd). Ideaal voor afhankelijkheidsaudits, SBOM-verrijking, supply-chain risicobeoordeling en licentienalevingstools. Gegevens van deps.dev (Google, CC-BY).

api.oanor.com/depsdev-api

De Open Source Vulnerabilities-database (OSV / osv.dev) als een API — de supply-chain beveiligingscontrole voor open-source afhankelijkheden. Scan elke pakketversie (PyPI, npm, Go, crates.io, Maven, NuGet, RubyGems, Packagist, Hex en meer) en ontdek direct of deze wordt beïnvloed door bekende kwetsbaarheden, met de ernst van elk advies, CVSS-score, CVE-alias, CWE-zwakte en referenties; vermeld elk advies dat ooit voor een pakket is gepubliceerd; en zoek een enkel advies op (GHSA, PYSEC, GO, RUSTSEC, CVE…) in volledig detail, inclusief de getroffen pakketten en versiebereiken. Live vanuit de officiële OSV.dev-database van Google, die GitHub Security Advisories, PyPA, RustSec, Go en vele andere bronnen verzamelt. Ideaal voor afhankelijkheidsscanning, SBOM en supply-chain tooling, CI-beveiligingspoorten en devsecops-dashboards. Open data.

api.oanor.com/osv-api