3.4 Sonatype OSS索引

随着OSS的采用不断增长，并日益对现代应用程序和产品的重要部分做出贡献，人们越来越需要了解与OSS组件相关的风险。超声型OSS指数已经成为一个帮助解决这个问题的著名来源。该索引提供了数百万个OSS组件的免费目录，以及组织可以使用这些扫描工具来识别OSS组件的漏洞和相关的风险，并降低组织的风险。OSS索引还提供了补救建议，与NVD一样，它有一个健壮的API，用于作为集成的扫描和查询的一部分。NVD和OSS索引之间的一个关键区别是使用了PURL而不是CPE。NVD使用CPE来唯一地识别受漏洞影响的脆弱产品，而OSS索引则使用PURL规范来描述组件或软件包的坐标。

除了能够搜索OSS组件并找到与漏洞相关的任何信息外，OSS索引还支持扫描项目的OSS漏洞，并通过索引的代表性状态传输（REST）应用程序编程接口（API）与现代连续集成/连续交付（CI/CD）工具链进行集成。作为更广泛的推动“安全左移”的一部分，将安全移到软件开发生命周期(SDLC)的早期，这种工具链和构建时集成有助于在将代码部署到生产运行时环境之前识别OSS组件中的漏洞。OSS索引API集成被许多流行的扫描工具用于各种编程语言，如Java Maven插件、Rust Cargo Pants、OWASP依赖检查和Python的ossaudit等。值得注意的是，虽然OSS索引对社区使用是免费的，但它也不包括任何特别策划的情报或来自专家的见解。然而，Sonatype确实提供了其他服务来提供额外的智能、管理库和提供自动化功能。