马萨诸塞州FULTON,2014年11月17日/美通社/ - Sonatype是一家软件公司,它使开发人员能够轻松构建软件应用程序,同时显着降低安全性,合规性和许可风险,今天发布了新版本的组件生命周期管理(CLM) )软件。 业界首先,开发人员现在可以避免安全风险,而不会错过业务关键的交付截止日期。
$config[code] not found虽然开源组件的可用性极大地加速了应用程序开发和发布计划,但开发人员每年都在使用数十亿未知来源和风险的开源组件。因此,许多包含高知名度已知漏洞的应用程序(如Struts2)每天都会被释放到野外。到目前为止,还没有办法跟踪和跟踪这些已知的坏组件及其依赖关系,并且跟上当今的敏捷开发需求。现在,情况已经不再如此了。
“开发人员经常抱怨安全领域没有得到它,”Sonatype首席执行官Wayne Jackson说。 “应用程序安全性必须以开发速度运行,否则将无法运行。企业依靠这种速度来竞争和茁壮成长。我们始终将开发人员社区置于首位,因为我们增强了CLM软件,以确保应用程序的安全,而不会使发布计划面临风险并降低业务速度。“
这个新版本的CLM为使用Java,NPM和NuGet开源组件的开发团队提供了前所未有的可见性。 CLM还提供了对市场领先的DevOps工具(包括Maven,Nexus,Hudson,Jenkins,Bamboo,Sonar,Eclipse等)风险所在的可见性。
产品优势包括:
- 永久软件物料清单: CLM仪表板在开发生命周期的每个阶段跟踪开发或生产中的每个应用程序使用的每个开源组件 - 能够立即跟踪和跟踪每个组件的使用。此外,CLM还针对组件使用的全面视图跟踪新风险和违反政策的行为。
- 立即识别新组件中的风险:当具有漏洞的新开源组件被引入到正在开发的应用程序中时,CLM的仪表板可以立即识别风险,它所在的应用程序以及应用程序开发生命周期的阶段(构建,集成,测试,发布)。没有其他产品可以在SDLC上实时识别新风险。
- 立即识别现有组件中的新风险:当在开发的应用程序中已经存在或存在于生产中的开源组件中宣布新的漏洞时,CLM可以立即识别哪些应用程序包含这些有风险的组件及其位置。没有其他解决方案能够在开发和生产过程中跟踪和跟踪组件的使用。
- 违反国旗:确定新风险后,CLM可以通知应用程序开发或应用程序安全专家。
- 为纠正风险提供决策支持:一旦确定风险,就会立即向开发人员提供更安全的替代版本的组件以开始修复。没有其他产品提供有关使用的替代安全版本组件的建议,也不允许开发人员选择并立即替换应用程序内的易受攻击组件。
- 多语言支持:CLM的新仪表板可用于永久管理Java(以及很快的.NET和npm)应用程序开发环境中的风险。
Sonatype CLM可以持续监控整个软件生命周期中的风险。一旦开发团队选择在应用程序中使用易受攻击的OSS组件,或者当披露新的开源漏洞时,它就立即被标记为开发和应用程序安全专业人员,并提供集成的决策支持来修复风险。负担过重的开发人员的巨大飞跃 - 检测和纠正需要数分钟,而传统的应用程序安全性和手动开源治理方法需要数天到数周。
Sonatype的新软件今天可以购买。欲了解更多信息,请访问:
- Sonatype的博客:总是被问到两个AppSec问题
- Sonatype的视频突出显示了CLM仪表板
- Sonatype的完整组件生命周期管理(CLM)产品之旅
关于Sonatype:
每天,开发人员都依赖数百万个第三方和开源构建模块(称为组件)来构建运行我们世界的软件。 Sonatype确保在整个软件开发生命周期中只使用最好的组件,这样组织就不必在快速和安全之间进行权衡。通过策略自动化,持续监控和主动警报,可以轻松实现整个软件供应链中组件的完全可见性和控制,从而使应用程序始终保持安全并保持这种状态。 Sonatype由New Enterprise Associates(NEA),Accel Partners,Bay Partners,Hummer Winblad Venture Partners和Morgenthaler Ventures投资私有。访问:www.sonatype.com
消息来源Sonatype
