Перейти к содержанию

CodeScoring.OSA

Модуль CodeScoring.OSA реализует защиту цепочки поставок через набор интеграционных компонентов, которые совместно обеспечивают автоматическое сканирование загружаемых артефактов и блокировку небезопасных пакетов. В состав CodeScoring.OSA входят как плагины для менеджеров репозиториев, так и прокси-сервис — все эти компоненты работают согласованно и дополняют друг друга:

  • плагины встраиваются в обработку request|response на стороне менеджера репозиториев (например, Sonatype Nexus и JFrog Artifactory) и блокируют загрузку нежелательных компонентов на уровне хранилища;
  • прокси-сервис перехватывает запросы пакетных менеджеров к удалённым репозиториям, выполняет сканирование и при необходимости модифицирует ответы — это удобный вариант для централизованного контроля или когда установка плагина невозможна.

Способы интеграции:

  • Sonatype Nexus Repository — плагин для Nexus (встраивается в request|response-пайплайн репозитория);
  • JFrog Artifactory — плагин для Artifactory (аналогичная интеграция);
  • OSA Proxy — прокси-сервис, перехватывающий запросы от пакетных менеджеров к upstream-репозиториям, выполняющий автоматическое сканирование, модификацию ответов и управление доступом к компонентам в соответствии с политиками безопасности.