#supply-chain

Genere hashes de Integridad de Subrecursos (SRI) para cualquier activo web, para que los navegadores puedan verificar que un script u hoja de estilo alojado en una CDN no ha sido manipulado. Proporcione una URL y el servicio obtiene el activo y devuelve sus hashes SRI sha256, sha384 y sha512, el valor de integridad elegido (sha384 por defecto, o pase su algoritmo preferido), el tamaño y tipo de contenido del activo, y una etiqueta <script> o <link> lista para pegar con los atributos integrity y crossorigin. Un endpoint de verificación vuelve a obtener el activo y le indica si aún coincide con una cadena de integridad conocida, detectando cambios silenciosos en la CDN o manipulación en la cadena de suministro antes de que sus usuarios los encuentren. La solicitud se realiza del lado del servidor; los destinos privados e internos son rechazados (protegido contra SSRF). Diseñado para asegurar scripts de terceros, fortalecer la cadena de suministro, tuberías de compilación y cumplimiento de CSP/SRI. Un generador y verificador de Integridad de Subrecursos, distinto del hash criptográfico sin procesar de datos de entrada (hash), el calificador de encabezados de seguridad HTTP (secheaders) y la verificación de certificados SSL/TLS (sslcheck). Sin clave upstream, sin caché.

api.oanor.com/sri-api

Inteligencia de cadena de suministro y dependencias de software como API, impulsada por deps.dev — el servicio de Open Source Insights de Google. En seis ecosistemas de paquetes (npm, PyPI, Maven, Cargo, Go y NuGet) responde preguntas que un registro no puede: ¿qué arrastra realmente la instalación de este paquete y qué tan saludable es el proyecto detrás? Enumera las versiones publicadas de un paquete y su versión predeterminada; lee las licencias declaradas de una versión específica, las claves de cualquier aviso de seguridad conocido, enlaces útiles (repositorio fuente, página principal, rastreador de problemas) y proyectos relacionados; resuelve el gráfico de dependencias TRANSITIVAS completo de una versión — el recuento total de dependencias, las dependencias directas y cada nodo transitivo con su versión resuelta exacta y si es una dependencia directa o indirecta; y consulta el Scorecard de OpenSSF de un proyecto fuente — la puntuación de seguridad general más los resultados por verificación para Mantenido, Revisión de Código, Protección de Ramas, Flujo de Trabajo Peligroso, Vulnerabilidades y más — junto con sus estrellas, bifurcaciones, problemas abiertos, licencia y página principal. Para módulos Go y artefactos Maven, el nombre del paquete es la ruta completa del módulo o grupo:artefacto (codificado en URL automáticamente). Ideal para auditoría de dependencias, enriquecimiento de lista de materiales de software (SBOM), evaluación de riesgos de cadena de suministro y herramientas de cumplimiento de licencias. Datos de deps.dev (Google, CC-BY).

api.oanor.com/depsdev-api

La base de datos de Vulnerabilidades de Código Abierto (OSV / osv.dev) como una API: la verificación de seguridad de la cadena de suministro para dependencias de código abierto. Escanee cualquier versión de paquete (PyPI, npm, Go, crates.io, Maven, NuGet, RubyGems, Packagist, Hex y más) y descubra al instante si está afectado por vulnerabilidades conocidas, con la gravedad de cada aviso, puntuación CVSS, alias CVE, debilidad CWE y referencias; enumere todos los avisos publicados para un paquete; y busque un solo aviso (GHSA, PYSEC, GO, RUSTSEC, CVE…) con todos los detalles, incluidos los paquetes afectados y los rangos de versiones. En vivo desde la base de datos oficial de OSV.dev de Google, que agrega Avisos de Seguridad de GitHub, PyPA, RustSec, Go y muchas otras fuentes. Ideal para escaneo de dependencias, SBOM y herramientas de cadena de suministro, puertas de seguridad de CI y paneles de devsecops. Datos abiertos.

api.oanor.com/osv-api