Какие бизнес-задачи можно решать
Снижение рисков финансовых и репутационных потерь при возможной компрометации данных и\или остановке сервисов из-за взлома приложений через уязвимые сторонние компоненты.
- Снижение затрат на разработку за счет автоматизации рутинных проверок
- Снижение затрат на контроль разработки со стороны службы безопасности
Sonatype Nexus позволяет проксировать, собирать и управлять зависимостями без постоянного обращения к внешним хранилищам бинарных JAR-артефактов.
Особенности
Выбор подходящих зависимостей на старте проекта
- Быстрая проверка компонентов на соответствие политикам использования ПО с открытым исходным кодом вашей организации с помощью подробной информации прямо в IDE.
Жизненный цикл Nexus позволяет в режиме реального времени получить представление о качестве компонентов и принять оптимальное решение о том, какие зависимости включать в ваши приложения.
Внутренние инструменты для обеспечения безопасности разработки
- Система предоставляет множество инструментов анализа безопасности кода для разработчиков на различных языках программирования, таких как как тестовые скрипты, работающие во время сборки как часть CI/CD конвейера, что позволит ускорить проверку приложений и облегчить взаимодействие со службой информационной безопасности.
- При проверках используются данные Nexus Intelligence и лучшие практики безопасной разработки для выявления уязвимых компонентов или нарушений политик с помощью всего нескольких щелчков мыши.
- Разработчики смогут основываясь на анализе в реальном времени выбрать лучшие компоненты и легко перейти на их проверенные версии. Nexus интегрируется с Eclipse, IntelliJ и Visual Studio, VS Code*, GitHub, GitLab, Atlassian Bitbucket и многими другими инструментами разработки.
Контроль качества исходников
- Sonatype Nexus позволяет просматривать результаты оценки зависимостей непосредственно в GitHub, Bitbucket или GitLab для снижения ускорения разработки через автоматизацию ручных задач.
- Поддерживайте актуальность версий компонентов с помощью постоянного мониторинга и автоматически создавайте запросы на исправление при любых новых нарушениях политик. Жизненный цикл Nexus дает вам доступные версии обновлений и способы автоматического устранения несоответствий.
- Обеспечение обратной связи для разработчиков по результатам сканирования нового кода, все несоответствия политикам и строки кода к ним приведшие могут быть отправлены автору для внесения исправлений.
Богатый и гибкий механизм настройки политик
- Nexus позволяет службе безопасности возможность создавать настраиваемые политики в зависимости от типа приложения и организации, а также применять эти политики на всех этапах цикла разработки приложений.
- Политики могут быть настроены для выявления уязвимостей безопасности, контроля лицензирования и даже для снижения стоимости разработки.
- По результатам срабатывания политик в системе имеются богатые возможности настройки оповещений по электронной почте или создания задач Jira, а также возможность приостановки сборки билда в зависимости от серьезности нарушения политик.
Проверка зависимостей на уязвимости перед вводом новых компонентов в цепочку разработки
- Модуль Nexus Firewall предотвращает ввод уязвимых компонентов в процесс разработки. Вы получаете инструмент автоматического контроля поступающих в вашу среду разработки внешних компонентов исходя из общих факторов риска – таких как уязвимости, возраст, популярность и лицензионные данные. С Nexus вы предотвратите разработку приложений, использующих нежелательные или неодобренные зависимости.
Точная информация по
использованию зависимостей
с подробными отчетами
- Получите полную прозрачность использования в вашей среде разработки конпонентов с открытым исходным кодом с помощью отчетность по жизненному циклу Nexus. Информативная отчетность облегчает быстрое выявление нарушений безопасности и политик в ваших приложениях и контейнерах. Она автоматически генерирует ведомость материалов по программному обеспечению, определяя все компоненты с открытым исходным кодом и их зависимости, а также отражает любые связанные с ними риски безопасности или лицензирования чтобы вы точно знали, что находится в ваших приложениях.
- С помощью приборной панели Success Metrics вы можете увидеть, как быстро устраняются нарушения, просмотреть тенденции по трудозатратам и отследить среднее время внесения изменений в код. Этими KPI можно легко поделиться с высшим руководством.