The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Google представил сервис для наглядного отслеживания зависимостей

04.06.2021 10:40

Компания Google ввела в строй новый сервис Open Source Insights (deps.dev), визуализирующий полный граф прямых и косвенных зависимостей для пакетов, распространяемых через репозитории NPM, Go, Maven и Cargo (в ближайшее время дополнительно появится поддержка NuGet и PyPI). Основные назначением сервиса является анализ распространения уязвимостей в модулях и библиотеках, присутствующих в цепочке зависимостей, что может оказаться полезным для выявления уязвимостей в зависимостях высокого уровня вложенности (зависимости зависимостей).

Из возможных областей применения также называется изучение лицензионной чистоты проекта (показывается статистика о том, какие лицензии используются в зависимостях), отслеживание выхода новых версий и событий, связанных с зависимостями (например, выявление уязвимостей) и оценка зависимых проектов (можно посмотреть отчёт о том, какие проекты используют указанную библиотеку напрямую или через другие зависимости). В качестве источников данных используются репозитории пакетов и данные с GitHub, в том числе Issues.



  1. Главная ссылка к новости (https://opensource.googleblog....)
  2. OpenNews: Google профинансирует работу по повышению безопасности ядра Linux
  3. OpenNews: Google занялся продвижением средств безопасной работы с памятью в открытом ПО
  4. OpenNews: Google опубликовал код сканера безопасности Tsunami
  5. OpenNews: Google раскрыл подробности обеспечения безопасности в своей инфраструктуре
  6. OpenNews: Итоги инициативы Google по повышению безопасности популярного свободного ПО
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/55270-npm
Ключевые слова: npm, go, maven, cargo, nuget, pypi
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (37) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, OnTheEdge (ok), 11:02, 04/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    ну да, современные фронтендщики только так и могут анализировать, главное, что бы в материал дезигн было
     
     
  • 2.5, A.Stahl (ok), 11:31, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Что, граф для тебя слишком сложно? Тьфу...
     
  • 2.7, нах.. (?), 12:16, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да у меня под потолком такой рисователь графов без всякого фронтендщика работает!
    Пылесосом хрен достанешь его рисунки.

    Нахрен еще гугль в другом углу с точно такими же картинками?!

     
  • 2.27, Аноним (27), 14:51, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > ну да, современные фронтендщики только так и могут анализировать, главное, что бы в материал дезигн было

    не забывай ещё что должны быть иконки семьи

     
     
  • 3.29, vasya (??), 16:25, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вы бы хоть поясняли при чём здесь картинки семьи?
     
  • 2.33, Онаним (?), 18:26, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Факт.
    Тихий ужас.
    Оптимизировать, чтобы это друг на друга не нахлёстывалось хотя бы настолько - уже не их.
     

  • 1.2, Аноним (2), 11:06, 04/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Хочу такое же для пакетов Линукса.

    Хотя бы Fedora $CURRENT, Ubuntu $CURRENT и Ubuntu $CURRENT_LTS

    // b.

     
     
  • 2.4, Доби (?), 11:20, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Собери это в shell-скрипт нормальный и будет счастье
    https://askubuntu.com/a/1304588
     
     
  • 3.10, Анто769ним (?), 12:17, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы два чайника. Apt уже давно так умеет.
     
     
  • 4.19, 224 (?), 13:59, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    пакажи
     
     
  • 5.38, Аноним (38), 21:13, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    apt-cache dotty
    apt-cache xvcg
     
  • 2.21, аноним2 (?), 14:46, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    debtree
     
  • 2.25, Аноним (27), 14:50, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Дурань, в linux этому уже куча лет как. Читай умные книжки а не гуглохрень
     

  • 1.3, lockywolf (ok), 11:06, 04/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Google открыл для себя Graphviz.
     
     
  • 2.6, Жироватт (ok), 12:14, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не. Гугл открыл себе еще одну ЦА, которой это можно будет продать. Не прямо сейчас, а когда выйдет из беты, по пути не умерев.
    Продавать открытую информацию. Постмодернизм вышел на новый уровень
     
     
  • 3.16, А (??), 13:07, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вроде, всегда было - продавать услуги. Не хочешь сам, за тебя за деньги сделаем. На цетральной площади и вокзале за тройную цену, на окраинах - по уговору.
     
  • 2.17, anonymous (??), 13:22, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Google предоставил конечный сервис, где из коробки и интерактивно всё рисуется, без необходимости писать костыли под graphviz.
     
  • 2.24, Аноним (27), 14:48, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хаха. по 100500

    Таки да. Видно нашёлся один адекват на армию макак.

     

  • 1.8, Анто769ним (?), 12:16, 04/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Нифига, на npm он должен был сломаться.
     
     
  • 2.34, Онаним (?), 18:28, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На npm он не ломается, но разобрать в этом отображаемом овнище хоть что-то...
     

  • 1.11, Иваня (?), 12:49, 04/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Не Open Source🤧 Не нужно!😖
     
  • 1.12, Аноним (12), 12:53, 04/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Уже были шутки в направлении "Google представил сервис для наглядного отслеживания"? А, нет? Ну ладно.
     
     
  • 2.15, А (??), 13:05, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы поискал в плагинах для браузера. Наверняка есть.
     

  • 1.14, А (??), 13:05, 04/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Где отображение интернет-зависимости... ? )))
     
  • 1.18, Wilem82 (ok), 13:44, 04/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для раста есть "cargo audit", для жавы "maven owasp". Причём, разумеется визуализирующие команды есть тоже. Не знаю, но предполагаю, что в NPM тоже это всё есть. Про го хз.  Вопрос - зачем гугл сделал этот сервис, тем более что закрытые проекты всё равно им пользоваться не смогут? По-моему там просто скучно стало кому-то.
     
     
  • 2.23, Аноним (27), 14:47, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    для раста ничего толком и нет, и не будет
     
  • 2.26, Аноним (26), 14:50, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В npm есть npm audit для аудита и npm ls для поиска пакетов в дереве с соответствующей визуализацией. Другое дело, что мейнтейнерам часто пофиг.
     
  • 2.31, Аноним (-), 17:18, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    "cargo adult"
     

  • 1.20, Аноним (20), 14:08, 04/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нужно добавить поддержку с++ и пропустить через него chromium. На граф я бы посмотрел.
     
  • 1.22, Аноним (27), 14:46, 04/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да вы что? Прямо инновации будущего.

    В нормальных языках и человеческих пакетных менеджерах/портах этому 100 лет в обед.

    Google - превратилось в позорищное скопище макак

     
  • 1.28, Аноним (28), 15:19, 04/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Основные назначением сервиса является анализ распространения уязвимостей в модулях и библиотеках

    Ага, решил проверить недавнюю дыру в https://deps.dev/go/github.com/prometheus/prometheus/v2.27.0+incompatible

    > Security Advisories
    > No advisories detected

    Про CVE-2021-29622 они не в курсе.
    Корпорация бобров в своем репертуаре.

     
  • 1.30, Аноним (30), 17:03, 04/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жуть https://deps.dev/npm/next/10.2.3/dependencies/graph
     
     
  • 2.35, Онаним (?), 18:34, 04/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    JS настолько офигенен, что требует целого аж модуля is_string
    Причём версии 1.0.6
    1.0.6, @#$ь
     
     
  • 3.40, Аноним (40), 13:46, 05/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Дело не в js, а макаках.
     
     
  • 4.41, Онаним (?), 14:28, 05/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Они неразлучны.
     

  • 1.37, Аноним (37), 20:31, 04/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >You need to enable JavaScript to run this app.

    Такой "сервис" мне не нужен совсем. Гитхабовский поюзаю.

     
  • 1.42, Аноним (42), 13:53, 06/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    лошары из гугела неосилили деб пакеты
     
     
  • 2.43, Онаним (?), 14:42, 06/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    С дебами сразу свеженьким обмазаться быстро не выйдет.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру