„Sonatype“ naujoji programinė įranga leidžia nustatyti OSS riziką ir suteikia greitą kelią į rezoliuciją

Anonim

FULTON, Md., 2014 m. Lapkričio 17 d. / PRNewswire / - „Sonatype“ - programinės įrangos kompanija, kuri leidžia kūrėjams lengvai kurti programinės įrangos programas, tuo pat metu gerokai sumažindama saugumo, atitikties ir licencijavimo riziką, šiandien išleido naują „Component Lifecycle Management“ versiją (CLM) programinė įranga. Pirma, pramonė, kūrėjai dabar gali išvengti saugumo rizikos be trūkstamų verslo kritinių pristatymo terminų.

$config[code] not found

Nors atviro kodo komponentų prieinamumas labai pagreitino taikomųjų programų kūrimo ir išleidimo tvarkaraščius, kūrėjai kasmet naudoja nežinomos kilmės ir rizikos kelis milijardus atviro kodo komponentų. Dėl šios priežasties daugelis programų, turinčių aukštą profilį, žinomi pažeidžiamumai, tokie kaip Struts2, kasdien išleidžiami į lauką. Iki šiol nebuvo žinoma, kaip sekti ir stebėti šiuos žinomus blogus komponentus ir jų priklausomybę, ir neatsilikti nuo šiandienos judrių plėtros reikalavimų. Dabar tai nebėra.

„Kūrėjai dažnai skundžiasi, kad saugumo pasaulis jo negauna“, - sakė „Wayne Jackson“, generalinis direktorius Sonatype. „Taikomųjų programų saugumas turi veikti sparčiai ar netrukus. Ir įmonės pasitiki šiuo greičiu, kad galėtų konkuruoti ir klestėti. Mes visuomet turime kūrėjų bendruomenę, nes mes tobuliname „CLM“ programinę įrangą, kad programos būtų saugios, nekeliant pavojaus atleidimo tvarkaraščiams ir sulėtinus verslo greitį. “

Ši nauja CLM versija suteikia precedento neturintį matomumą visose „Java“, „NPM“ ir „NuGet“ atvirojo kodo komponentų kūrimo komandose. „CLM“ taip pat užtikrina matomumą, kur rizika yra rinkos lyderių „DevOps“ įrankiuose, įskaitant „Maven“, „Nexus“, „Hudson“, „Jenkins“, „Bamboo“, „Sonar“, „Eclipse“ ir kt.

Privalumai yra:

  • Nuolatinė programinė įranga: „CLM“ prietaisų skydelis stebi kiekvieną atviro kodo komponentą, naudojamą kiekvienoje kūrimo ar gamybos programoje, kiekviename kūrimo gyvavimo ciklo etape - su galimybe nedelsiant sekti ir sekti kiekvieno komponento naudojimą. Be to, CLM stebi naujus rizikos veiksnius ir politikos pažeidimus prieš tai, kai yra išsamus komponentų naudojimo vaizdas.
  • Nedelsiant nustatykite naujų komponentų riziką: Kai kuriami nauji atviro kodo komponentai su pažeidžiamumu, kuriami kūriniai, „CLM“ prietaisų skydelis nedelsdamas nustato riziką, taikomą programą ir jos taikymo ciklo etapą (kurti, integruoti, išbandyti, paleisti). Nė vienas kitas produktas negali nustatyti naujų rizikų realiu laiku visoje SDLC.
  • Nedelsiant nustatykite naujus esamų komponentų pavojus: Kai skelbiami nauji pažeidžiamumai atviro kodo komponentuose, kurie jau yra kuriami ar gaminami programose, CLM gali iš karto nustatyti, kokias programas sudaro tie rizikingi komponentai ir kur jie yra. Nė vienas kitas sprendimas neturi galimybės stebėti ir sekti komponentų naudojimą vystymosi ir gamybos metu.
  • Pažymėti pažeidimus: Kai nustatoma nauja rizika, CLM gali pranešti apie programų kūrimo ar taikymo saugumo specialistus.
  • Sprendimų palaikymas siekiant pašalinti riziką: kai tik nustatoma rizika, kūrėjams bus nedelsiant pateikiamos saugesnės alternatyvios komponentų versijos, kad būtų pradėtas ištaisymas. Nė vienas kitas pasiūlymas nepateikia rekomendacijų dėl alternatyvių, saugių komponentų versijų, kurių negalima naudoti, ir neleidžia kūrėjams pasirinkti ir nedelsiant pakeisti pažeidžiamą komponentą programoje.
  • Daugiakalbė pagalba„CLM“ naujasis prietaisų skydelis gali būti naudojamas nuolat valdyti riziką „Java“ (ir netrukus.NET ir npm) programų kūrimo aplinkose.

„Sonatype CLM“ nuolat stebi riziką per visą programinės įrangos gyvavimo ciklą. Kai tik besivystanti komanda pasirenka pažeidžiamą OSS komponentą naudojimui programoje arba kai atskleidžiamas naujas atvirojo kodo pažeidžiamumas, jis nedelsiant pažymėtas plėtros ir taikomųjų programų saugos specialistams, o integruota sprendimų parama teikiama rizikai pašalinti. Didelis žingsnis į priekį pernelyg apsunkintiems kūrėjams - aptikimas ir koregavimas trunka minutes, palyginti su tradiciniais taikomųjų programų saugumo ir rankinio atvirojo kodo valdymo metodais, kurie trunka kelias savaites.

„Sonatype“ naują programinę įrangą galima įsigyti šiandien. Norėdami gauti daugiau informacijos, apsilankykite:

  • „Sonatype“ internetinis dienoraštis: du „AppSec“ klausimai, visada paklausti
  • „Sonatype“ vaizdo įrašas atkreipia dėmesį į CLM prietaisų skydelį
  • „Sonatype“ pilnas „Component Lifecycle Management“ (CLM) produkto turas

Apie „Sonatype“:

Kiekvieną dieną kūrėjai remiasi milijonais trečiųjų šalių ir atviro kodo kūrimo blokais, vadinamais komponentais, kad sukurtų mūsų pasaulį valdančią programinę įrangą. „Sonatype“ užtikrina, kad visą programinės įrangos kūrimo gyvavimo ciklą būtų naudojami tik geriausi komponentai, kad organizacijos neturėtų kompromisų tarp greito ir saugaus. Politikos automatizavimas, nuolatinė stebėsena ir aktyvūs įspėjimai leidžia lengvai matyti ir kontroliuoti komponentus visoje programinės įrangos tiekimo grandinėje, kad programos pradėtų saugiai ir laikui bėgant. „Sonatype“ yra privati, turinti „New Enterprise Associates“ („NEA“), „Accel Partners“, „Bay Partners“, „Hummer Winblad Venture Partners“ ir „Morgenthaler Ventures“ investicijas. Aplankykite: www.sonatype.com

SOURCE Sonatype