Sonatype, der führende Anbieter von Open Source Governance und DevSecOps Automation, gab heute bekannt, dass Nexus Firewall nun verfügbar ist, um die mehr als 10 Millionen Entwickler zu unterstützen, die derzeit die Open Source Version von Nexus Repository verwenden. Bisher nur für kommerzielle Anwender von Nexus Repository Pro verfügbar, bietet die neueste Version von Nexus Firewall allen Nexus Repo-Anwendern die Möglichkeit, anfällige Open-Source-Komponenten automatisch daran zu hindern, in eine DevOps-Pipeline einzudringen.

Laut "State of the Software Supply Chain Report" enthielten im Jahr 2016 7,2 % (1 von 14) der Open-Source-Komponenten, die in Repository-Manager heruntergeladen wurden, eine bekannte Sicherheitslücke. Unternehmen mit nicht existierenden oder manuellen Governance-Prozessen sind anfällig für gefährdete Open-Source-Komponenten, die ihren Weg in produktive Webanwendungen finden, was das Risiko von Datenschutzverletzungen drastisch erhöht.

"Entwickler verwenden Open-Source-Komponenten gerne, um Innovationen zu beschleunigen – aber keiner von ihnen möchte unwissentlich Sicherheitslücken in seine Anwendung einbauen", so Brian Fox, CTO von Sonatype. "Nexus Firewall verhindert automatisch, dass defekte Open-Source-Komponenten die Entwickler erreichen, wodurch Risiken bereits in der frühesten Phase des Entwicklungszyklus eliminiert werden. Die Ergebnisse sind unglaublich. Innerhalb der ersten 90 Tage nach dem Einsatz von Nexus Firewall konnte ein Kunde automatisch verhindern, dass 1.500 anfällige Komponenten in den Entwicklungszyklus eindringen konnten. Somit konnten 34.000 Stunden manueller Überprüfungen eliminiert werden."

"Anstatt zu warten, bis eine Anwendung zusammengesetzt ist, um diese bekannten Schwachstellen zu scannen und zu identifizieren, sollten Sie dieses Problem an der Quelle beheben, indem Sie die Entwickler warnen, diese bekannt anfälligen Komponenten nicht herunterzuladen und zu verwenden (und im Falle schwerwiegender Schwachstellen den Download zu blockieren)", schrieben die Gartner-Analysten Neil MacDonald und Ian Head in ihrem Bericht vom 3. Oktober 2017, "10 Things to Get Right for Successful DevSecOps“. "Um dieses Problem zu beheben, bieten einige Hersteller eine ‚OSS-Firewall‘ (Sonatype Nexus Firewall) an, um Entwicklern den Sicherheitsstatus von Bibliotheken aufzuzeigen, damit sie fundierte Entscheidungen über die zu verwendenden Versionen treffen zu können. Mit diesem Ansatz kann der Entwickler Downloads von Komponenten und Bibliotheken mit bekannten, schwerwiegenden Schwachstellen (z. B. basierend auf dem Schweregrad des zugewiesenen CVE) explizit blockieren.

Nexus Firewall ist jetzt für alle Nexus Repository OSS-Benutzer verfügbar. Zu den Vorteilen zählen:

  • Automatisierte Open-Source-Governance-Richtlinien zum frühestmöglichen Zeitpunkt im Lebenszyklus der Softwareentwicklung.
  • Verhindern, dass anfällige Open-Source-Komponenten in Ihre Software-Lieferkette gelangen, indem sie am Perimeter blockiert und unter Quarantäne gestellt werden.

Ressourcen:

  • Sehen Sie sich ein Video an, das Nexus Firewall in Aktion demonstriert.
  • Lesen Sie unsere neuesten Blogpost über Nexus Firewall.
  • Schauen Sie sich unsere Firewall Infographics an.
Über SONATYPE Inc.

Sonatype ist der führende Anbieter DevOps-nativer Tools zur Automatisierung moderner Software-Lieferketten. Als Entwickler von Apache Maven, des Central Repositorys und des Nexus Repositorys hat Sonatype die Entwicklung komponentenbasierter Software vorangetrieben und kann auf eine lange Geschichte hinsichtlich der Unterstützung von Open-Source-Innovationen zurückblicken. Heute sind mehr als 150.000 Organisationen auf Sonatypes Nexus-Plattform angewiesen, um die Menge, Vielfalt und Qualität von Open-Source-Komponenten zu steuern, die in moderne Softwareanwendungen einfließen. Sonatype ist im Privatbesitz mit Kapitalbeteiligung von New Enterprise Associates (NEA), Accel Partners, Hummer Winblad Venture Partners, Morgenthaler Ventures, Bay Partners und Goldman Sachs. Erfahren Sie mehr unter www.sonatype.com

Firmenkontakt und Herausgeber der Meldung:

SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com

Ansprechpartner:
Martina Kunze
EinUndZwanzigNullZwei für Sonatype
Telefon: +49 (7042) 1205073
E-Mail: mk@einundzwanzignullzwei.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.