Sonatype macht Nexus Firewall für 10 Millionen Entwickler verfügbar
Laut "State of the Software Supply Chain Report" enthielten im Jahr 2016 7,2 % (1 von 14) der Open-Source-Komponenten, die in Repository-Manager heruntergeladen wurden, eine bekannte Sicherheitslücke. Unternehmen mit nicht existierenden oder manuellen Governance-Prozessen sind anfällig für gefährdete Open-Source-Komponenten, die ihren Weg in produktive Webanwendungen finden, was das Risiko von Datenschutzverletzungen drastisch erhöht.
"Entwickler verwenden Open-Source-Komponenten gerne, um Innovationen zu beschleunigen – aber keiner von ihnen möchte unwissentlich Sicherheitslücken in seine Anwendung einbauen", so Brian Fox, CTO von Sonatype. "Nexus Firewall verhindert automatisch, dass defekte Open-Source-Komponenten die Entwickler erreichen, wodurch Risiken bereits in der frühesten Phase des Entwicklungszyklus eliminiert werden. Die Ergebnisse sind unglaublich. Innerhalb der ersten 90 Tage nach dem Einsatz von Nexus Firewall konnte ein Kunde automatisch verhindern, dass 1.500 anfällige Komponenten in den Entwicklungszyklus eindringen konnten. Somit konnten 34.000 Stunden manueller Überprüfungen eliminiert werden."
"Anstatt zu warten, bis eine Anwendung zusammengesetzt ist, um diese bekannten Schwachstellen zu scannen und zu identifizieren, sollten Sie dieses Problem an der Quelle beheben, indem Sie die Entwickler warnen, diese bekannt anfälligen Komponenten nicht herunterzuladen und zu verwenden (und im Falle schwerwiegender Schwachstellen den Download zu blockieren)", schrieben die Gartner-Analysten Neil MacDonald und Ian Head in ihrem Bericht vom 3. Oktober 2017, "10 Things to Get Right for Successful DevSecOps“. "Um dieses Problem zu beheben, bieten einige Hersteller eine ‚OSS-Firewall‘ (Sonatype Nexus Firewall) an, um Entwicklern den Sicherheitsstatus von Bibliotheken aufzuzeigen, damit sie fundierte Entscheidungen über die zu verwendenden Versionen treffen zu können. Mit diesem Ansatz kann der Entwickler Downloads von Komponenten und Bibliotheken mit bekannten, schwerwiegenden Schwachstellen (z. B. basierend auf dem Schweregrad des zugewiesenen CVE) explizit blockieren.
Nexus Firewall ist jetzt für alle Nexus Repository OSS-Benutzer verfügbar. Zu den Vorteilen zählen:
- Automatisierte Open-Source-Governance-Richtlinien zum frühestmöglichen Zeitpunkt im Lebenszyklus der Softwareentwicklung.
- Verhindern, dass anfällige Open-Source-Komponenten in Ihre Software-Lieferkette gelangen, indem sie am Perimeter blockiert und unter Quarantäne gestellt werden.
Ressourcen:
- Sehen Sie sich ein Video an, das Nexus Firewall in Aktion demonstriert.
- Lesen Sie unsere neuesten Blogpost über Nexus Firewall.
- Schauen Sie sich unsere Firewall Infographics an.
Sonatype ist der führende Anbieter DevOps-nativer Tools zur Automatisierung moderner Software-Lieferketten. Als Entwickler von Apache Maven, des Central Repositorys und des Nexus Repositorys hat Sonatype die Entwicklung komponentenbasierter Software vorangetrieben und kann auf eine lange Geschichte hinsichtlich der Unterstützung von Open-Source-Innovationen zurückblicken. Heute sind mehr als 150.000 Organisationen auf Sonatypes Nexus-Plattform angewiesen, um die Menge, Vielfalt und Qualität von Open-Source-Komponenten zu steuern, die in moderne Softwareanwendungen einfließen. Sonatype ist im Privatbesitz mit Kapitalbeteiligung von New Enterprise Associates (NEA), Accel Partners, Hummer Winblad Venture Partners, Morgenthaler Ventures, Bay Partners und Goldman Sachs. Erfahren Sie mehr unter www.sonatype.com
SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com
EinUndZwanzigNullZwei für Sonatype
Telefon: +49 (7042) 1205073
E-Mail: mk@einundzwanzignullzwei.de