Sonatypeの新しいソフトウェアリリースがOSSリスクを決定し、解決への早道を提供

Anonim

FULTON、MD、2014年11月17日/ PRNewswire / - セキュリティ、コンプライアンス、およびライセンスのリスクを大幅に削減しながら開発者がソフトウェアアプリケーションを簡単に構築できるソフトウェア会社、Sonatypeが本日、Component Lifecycle Management(CLM)の新バージョンをリリースした。 )ソフトウェア。業界第一に、開発者はビジネスクリティカルな納期を守らずにセキュリティリスクを回避することができます。

$config[code] not found

オープンソースコンポーネントが利用可能になったことで、アプリケーションの開発とリリースのスケジュールが劇的に加速されましたが、開発者は、未知の原因とリスクのある何十億ものオープンソースコンポーネントを毎年使用しています。その結果、Struts2などの知名度の高い既知の脆弱性を含む多くのアプリケーションが日常的に公開されています。今日まで、これらの既知の問題のあるコンポーネントやその依存関係を追跡および追跡し、今日のアジャイル開発要件に対応する方法はありませんでした。今、それはもはや当てはまりません。

SonatypeのCEO、Wayne Jacksonは、次のように述べています。 「アプリケーションセキュリティは開発速度で機能しなければ機能しません。そうでなければ機能しません。そして、企業は競争と繁栄のためにこのスピードに頼っています。リリーススケジュールを危険にさらしたりビジネスのスピードを落としたりすることなくアプリケーションを安全に保つためにCLMソフトウェアを強化するため、開発者コミュニティは常に頭を悩ませています。」

この新しいバージョンのCLMは、Java、NPM、およびNuGetオープンソースコンポーネントを扱う開発チーム間で、これまでにない可視性を提供します。また、CLMは、Maven、Nexus、Hudson、Jenkins、Bamboo、Sonar、Eclipseなど、市場をリードするDevOpsツールのどこにリスクがあるのか​​を可視化します。

製品の利点は次のとおりです。

  • 永久ソフトウェア部品表: CLM Dashboardは、開発中または運用中のすべてのアプリケーション、開発ライフサイクルの各段階で使用されているすべてのオープンソースコンポーネントを追跡し、各コンポーネントの使用状況を即座に追跡および追跡する機能を備えています。さらに、CLMは、コンポーネントの使用に関するこのような包括的な見方に対する新しいリスクとポリシー違反を追跡します。
  • 新しいコンポーネントのリスクを即座に特定する:脆弱性のある新しいオープンソースコンポーネントが開発中のアプリケーションに導入されると、CLMのダッシュボードは、リスク、それが存在するアプリケーション、およびアプリケーション開発ライフサイクルのその段階(ビルド、統合、テスト、リリース)を即座に識別します。 SDLC全体でリアルタイムで新しいリスクを特定できる製品は他にありません。
  • 既存のコンポーネントの新しいリスクを即座に特定する:開発中のアプリケーション内にすでに存在する、または本番環境に存在するオープンソースコンポーネントに新しい脆弱性が発表された場合、CLMはそれらの危険なコンポーネントが含まれているアプリケーションとその場所を即座に特定できます。他の解決策では、開発から本番までの期間にわたってコンポーネントの使用状況を追跡および追跡することはできません。
  • 違反を報告する:新しいリスクが特定されたら、CLMはアプリケーション開発またはアプリケーションセキュリティの専門家に通知することができます。
  • リスクを軽減するための意思決定支援リスクが特定されると、より安全な代替バージョンのコンポーネントがすぐに開発者に提示され、修復が開始されます。他に提供されている製品は、使用するコンポーネントの代替の安全なバージョンに関する推奨事項を提示するものでも、開発者がアプリケーション内の脆弱なコンポーネントを選択して即座に置き換えることもできません。
  • 多言語サポート:CLMの新しいダッシュボードを使用して、Java(そして.NETとnpm)アプリケーション開発環境全体のリスクを永続的に管理することができます。

Sonatype CLMは、ソフトウェアライフサイクル全体にわたってリスクを永続的に監視します。開発チームによって脆弱なOSSコンポーネントがアプリケーションでの使用に選択されるとすぐに、または新しいオープンソースの脆弱性が公開されると、開発およびアプリケーションセキュリティの専門家に即座にフラグが立てられ、リスクを修復するための統合的な意思決定支援が提供されます。過負荷の開発者にとって飛躍的な進歩 - 検出と修正には数分から数週間かかる伝統的なアプリケーションセキュリティと手動のオープンソースガバナンスアプローチと比べて数分かかります。

Sonatypeの新しいソフトウェアは今日購入可能です。詳細については、にアクセスしてください。

  • Sonatypeのブログ:常に聞かれる2つのAppSec質問
  • CLMダッシュボードをハイライトしたSonatypeのビデオ
  • Sonatypeの完全なコンポーネントライフサイクル管理(CLM)製品ツアー

Sonatypeについて:

毎日、開発者は、私たちの世界を走らせるソフトウェアを構築するために、コンポーネントと呼ばれる何百万もの第三者およびオープンソースのビルディングブロックに頼っています。 Sonatypeは、ソフトウェア開発のライフサイクルを通して最良のコンポーネントのみが使用されるようにします。そのため、組織は、高速化と安全性を両立させる必要はありません。ポリシーの自動化、継続的な監視、予防的なアラートにより、ソフトウェアサプライチェーン全体でコンポーネントの完全な可視性と制御を簡単に実現できるため、アプリケーションは安全に起動し、その期間にわたって維持されます。 Sonatypeは、New Enterprise Associates(NEA)、Accel Partners、Bay Partners、Hummer Winblad Venture Partners、およびMorgenthaler Venturesからの投資で非公開にされています。訪問:www.sonatype.com

ソースソナタイプ