Oso Security è una startup di New York che ha sviluppato un motore di policy open source che viene incorporato direttamente nella applicazione per gestire le autorizzazioni, secondo il principio security as code.
La libreria Oso fornisce un linguaggio di policy dichiarativo per esprimere la logica di autorizzazione. Questa logica viene definita separatamente dal resto del codice dell’applicazione, ma è eseguita e può essere chiamata direttamente all’interno di essa.
Oso aiuta dunque gli sviluppatori a costruire il sistema di autorizzazione nelle loro applicazioni.
La libreria include l’engine per prendere decisioni di autorizzazione e filtrare i dati, usando i dati dell’applicazione come input. Fornisce API per ruoli, relazioni, visibilità dell’interfaccia utente e altri casi d’uso comuni, con le best practice incorporate.
Un linguaggio di policy permette di esprimere la logica dei permessi in modo dichiarativo e conciso, e sono compresi un debugger e un REPL.
La libreria open source Oso è locale e supporta diversi linguaggi applicativi. Per aggiungere l’autorizzazione alla propria applicazione, basta creare una nuova istanza di Oso e caricare una regola scritta nel policy language leggibile di Oso, Polar.
Oso mette a disposizione degli sviluppatori API per gestire i ruoli, restituire i permessi al frontend e altri modelli comuni, così come integrazioni con framework web e ORM che incorporano le best practice e template per autorizzazioni a grana grossa o fine, al livello request o dei dati, su field o collection.
Il linguaggio di policy dichiarativo Polar è costruito per esprimere elementi quali oggetti, ruoli, relazioni, gerarchie e combinazioni condizionali. Polar può ottenere campi, chiamare metodi e fare il match sui tipi definiti nella applicazione, in modo che gli sviluppatori possano avere tutto il contesto di cui c’è bisogno nelle policy.
L’obiettivo di Oso è quello di mettere la sicurezza nelle mani degli sviluppatori, e il modo in cui tale obiettivo viene perseguito è fornendo la security as code.
Secondo la startup, la maggior parte dei prodotti di security non è stata costruita per gli sviluppatori, mentre Oso ritiene che è proprio quando si rimuove l’attrito per gli sviluppatori che si ottengono i migliori risultati. E da questa idea sono nati la startup e il prodotto.
La vision del team è che oggi la soluzione sia in grado di aiutare ad aggiungere l’autorizzazione alle loro applicazioni, ma che Oso, in quanto costruito su uno stack tecnologico fondante rappresentato da un engine e da un linguaggio di policy, permetterà di risolvere una gamma molto più ampia di problemi per gli sviluppatori, in futuro.
