CodeScoring.OSA¶
Модуль CodeScoring.OSA реализует защиту цепочки поставок через набор интеграционных компонентов, которые совместно обеспечивают автоматическое сканирование загружаемых артефактов и блокировку небезопасных пакетов. В состав CodeScoring.OSA входят как плагины для менеджеров репозиториев, так и прокси-сервис — все эти компоненты работают согласованно и дополняют друг друга:
- плагины встраиваются в обработку request|response на стороне менеджера репозиториев (например, Sonatype Nexus и JFrog Artifactory) и блокируют загрузку нежелательных компонентов на уровне хранилища;
- прокси-сервис перехватывает запросы пакетных менеджеров к удалённым репозиториям, выполняет сканирование и при необходимости модифицирует ответы — это удобный вариант для централизованного контроля или когда установка плагина невозможна.
Способы интеграции:
- Sonatype Nexus Repository — плагин для Nexus (встраивается в request|response-пайплайн репозитория);
- JFrog Artifactory — плагин для Artifactory (аналогичная интеграция);
- OSA Proxy — прокси-сервис, перехватывающий запросы от пакетных менеджеров к upstream-репозиториям, выполняющий автоматическое сканирование, модификацию ответов и управление доступом к компонентам в соответствии с политиками безопасности.