Sonatype's nieuwe softwareversie Bepaalt OSS-risico en biedt onmiddellijk pad naar oplossing

Anonim

FULTON, Md., 17 november 2014 / PRNewswire / - Sonatype, een softwarebedrijf dat ontwikkelaars in staat stelt eenvoudig softwaretoepassingen te bouwen en tegelijkertijd de beveiligings-, nalevings- en licentierisico's aanzienlijk te verminderen, heeft vandaag een nieuwe versie van het Component Lifecycle Management (CLM) uitgebracht) software. Als eerste in de industrie kunnen ontwikkelaars beveiligingsrisico's nu vermijden zonder deadlines voor bedrijfskritieke levering te missen.

$config[code] not found

Hoewel de beschikbaarheid van open source-componenten de applicatie-ontwikkeling en release-schema's drastisch heeft versneld, gebruiken ontwikkelaars miljarden open source componenten van onbekende oorsprong en risico's per jaar. Dientengevolge worden veel toepassingen die bekende, bekende kwetsbaarheden bevatten, zoals Struts2, dagelijks in het wild vrijgegeven. Tot op heden was er geen manier om deze bekende slechte componenten of hun afhankelijkheden op te sporen en te volgen EN gelijke tred te houden met de huidige agile ontwikkelingsvereisten. Nu, dat is niet langer het geval.

"Ontwikkelaars klagen vaak dat de beveiligingswereld het niet snapt," zei Wayne Jackson, CEO Sonatype. "Applicatiebeveiliging moet werken met de snelheid van ontwikkeling of het zal niet werken. En bedrijven vertrouwen op deze snelheid om te concurreren en te gedijen. We hebben altijd de topprioriteit van de ontwikkelaarsgemeenschap bij het verbeteren van onze CLM-software om applicaties veilig te houden zonder release-schema's in gevaar te brengen en de bedrijfssnelheid te vertragen. "

Deze nieuwe versie van CLM biedt ongekende zichtbaarheid tussen ontwikkelteams die werken met open source-componenten van Java, NPM en NuGet. CLM biedt ook inzicht in waar het risico zich bevindt in toonaangevende DevOps-tools zoals Maven, Nexus, Hudson, Jenkins, Bamboo, Sonar, Eclipse, enz.

Productvoordelen omvatten:

  • Perpetual software Bill of Materials: Het CLM Dashboard houdt bij elke gebruikte open source-component, in elke applicatie in ontwikkeling of in productie, bij in elke fase van de ontwikkelingslevenscyclus - met de mogelijkheid om het gebruik van elke component onmiddellijk bij te houden en te traceren. Bovendien traceert CLM nieuwe risico's en beleidsovertredingen tegen dat uitgebreide overzicht van componentgebruik.
  • Identificeer risico's onmiddellijk in nieuwe componenten: Wanneer nieuwe open source componenten met kwetsbaarheden worden geïntroduceerd in apps in ontwikkeling, identificeert het dashboard van CLM onmiddellijk het risico, de applicatie waarin het zich bevindt en de fase van de levenscyclus van de applicatie-ontwikkeling (build, integratie, testen, release). Geen enkel ander product kan nieuwe risico's in realtime identificeren via de SDLC.
  • Identificeer onmiddellijk nieuwe risico's in bestaande componenten: Wanneer nieuwe kwetsbaarheden worden aangekondigd in open source-componenten die al bestaan ​​in toepassingen die worden ontwikkeld of die zich in de productie bevinden, kan CLM onmiddellijk vaststellen welke toepassingen die risicovolle componenten bevatten en waar ze zich bevinden. Geen enkele andere oplossing heeft het vermogen om het gebruik van componenten in de loop van de tijd bij de ontwikkeling en bij de productie te volgen en te traceren.
  • Schendingen van vlaggen: Wanneer nieuwe risico's worden vastgesteld, kan CLM de ontwikkelaars van toepassingsontwikkeling of toepassingsbeveiliging op de hoogte brengen.
  • Beslissingsondersteuning om risico's te herstellen: zodra risico's zijn vastgesteld, worden veiliger alternatieve versies van componenten onmiddellijk aan ontwikkelaars gepresenteerd om met de reparatie te beginnen. Geen enkel ander aanbod bevat aanbevelingen voor alternatieve, veilige versies van te gebruiken componenten, en het staat ontwikkelaars ook niet toe om het kwetsbare onderdeel binnen de toepassing te kiezen en onmiddellijk te vervangen.
  • Meertalige ondersteuning: Het nieuwe dashboard van CLM kan worden gebruikt om voortdurend risico's te beheren in Java-ontwikkelomgevingen (en binnenkort.NET en npm).

Sonatype CLM controleert voortdurend de risico's tijdens de gehele levenscyclus van de software. Zodra een kwetsbare OSS-component is geselecteerd voor gebruik in een toepassing door een ontwikkelingsteam of wanneer een nieuwe open-source-kwetsbaarheid wordt onthuld, wordt deze onmiddellijk gemarkeerd voor ontwikkelaars en professionals voor toepassingsbeveiliging en wordt geïntegreerde beslissingsondersteuning geboden om het risico te remediëren. Een enorme stap voorwaarts voor overbelaste ontwikkelaars - detectie en correctie kost minuten vergeleken met traditionele applicatiebeveiliging en handmatige open source governance-benaderingen die dagen tot weken in beslag nemen.

De nieuwe software van Sonatype is vandaag verkrijgbaar. Ga voor meer informatie naar:

  • Het blog van Sonatype: twee AppSec-vragen altijd gesteld
  • Video van Sonatype die het CLM-dashboard benadrukt
  • Sonatype's volledige Component Lifecycle Management (CLM) productrondleiding

Over Sonatype:

Elke dag vertrouwen ontwikkelaars op miljoenen externe en open source bouwstenen - ook bekend als componenten - om de software te bouwen die onze wereld bestuurt. Sonatype zorgt ervoor dat alleen de beste componenten worden gebruikt tijdens de gehele levenscyclus van de softwareontwikkeling, zodat organisaties geen afweging hoeven te maken tussen snel en veilig zijn. Beleidsautomatisering, voortdurende monitoring en proactieve meldingen maken het eenvoudig om volledige zichtbaarheid en controle te krijgen over componenten in de hele softwareleveringsketen, zodat applicaties veilig beginnen te worden en in de loop van de tijd zo blijven. Sonatype is een privébedrijf met investeringen van New Enterprise Associates (NEA), Accel Partners, Bay Partners, Hummer Winblad Venture Partners en Morgenthaler Ventures. Bezoek: www.sonatype.com

SOURCE Sonatype