Sonatype Nexus

Менеджер репозиториев для локального хранения и управления артефактами, зависимостями и Docker-образами.

  • Выбор

    подходящих зависимостей на старте проекта.

  • Проверка

    зависимостей на уязвимости перед вводом новых
    компонентов в цепочку разработки.

Какие бизнес-задачи можно решать

Снижение рисков финансовых и репутационных потерь при возможной компрометации данных и\или остановке сервисов из-за взлома приложений через уязвимые сторонние компоненты.

  • Снижение затрат на разработку за счет автоматизации рутинных проверок
  • Снижение затрат на контроль разработки со стороны службы безопасности

Sonatype Nexus позволяет проксировать, собирать и управлять зависимостями без постоянного обращения к внешним хранилищам бинарных JAR-артефактов.

Особенности

Выбор подходящих зависимостей на старте проекта

  • Быстрая проверка компонентов на соответствие политикам использования ПО с открытым исходным кодом вашей организации с помощью подробной информации прямо в IDE.

    Жизненный цикл Nexus позволяет в режиме реального времени получить представление о качестве компонентов и принять оптимальное решение о том, какие зависимости включать в ваши приложения.

Внутренние инструменты для обеспечения безопасности разработки

  • Система предоставляет множество инструментов анализа безопасности кода для разработчиков на различных языках программирования, таких как как тестовые скрипты, работающие во время сборки как часть CI/CD конвейера, что позволит ускорить проверку приложений и облегчить взаимодействие со службой информационной безопасности.
  • При проверках используются данные Nexus Intelligence и лучшие практики безопасной разработки для выявления уязвимых компонентов или нарушений политик с помощью всего нескольких щелчков мыши.
  • Разработчики смогут основываясь на анализе в реальном времени выбрать лучшие компоненты и легко перейти на их проверенные версии. Nexus интегрируется с Eclipse, IntelliJ и Visual Studio, VS Code*, GitHub, GitLab, Atlassian Bitbucket и многими другими инструментами разработки.

Контроль качества исходников

  • Sonatype Nexus позволяет просматривать результаты оценки зависимостей непосредственно в GitHub, Bitbucket или GitLab для снижения ускорения разработки через автоматизацию ручных задач.
  • Поддерживайте актуальность версий компонентов с помощью постоянного мониторинга и автоматически создавайте запросы на исправление при любых новых нарушениях политик. Жизненный цикл Nexus дает вам доступные версии обновлений и способы автоматического устранения несоответствий.
  • Обеспечение обратной связи для разработчиков по результатам сканирования нового кода, все несоответствия политикам и строки кода к ним приведшие могут быть отправлены автору для внесения исправлений.

Богатый и гибкий механизм настройки политик

  • Nexus позволяет службе безопасности возможность создавать настраиваемые политики в зависимости от типа приложения и организации, а также применять эти политики на всех этапах цикла разработки приложений.
  • Политики могут быть настроены для выявления уязвимостей безопасности, контроля лицензирования и даже для снижения стоимости разработки.
  • По результатам срабатывания политик в системе имеются богатые возможности настройки оповещений по электронной почте или создания задач Jira, а также возможность приостановки сборки билда в зависимости от серьезности нарушения политик.

Проверка зависимостей на уязвимости перед вводом новых компонентов в цепочку разработки

  • Модуль Nexus Firewall предотвращает ввод уязвимых компонентов в процесс разработки. Вы получаете инструмент автоматического контроля поступающих в вашу среду разработки внешних компонентов исходя из общих факторов риска – таких как уязвимости, возраст, популярность и лицензионные данные. С Nexus вы предотвратите разработку приложений, использующих нежелательные или неодобренные зависимости.

Точная информация по
использованию зависимостей
с подробными отчетами

  • Получите полную прозрачность использования в вашей среде разработки конпонентов с открытым исходным кодом с помощью отчетность по жизненному циклу Nexus. Информативная отчетность облегчает быстрое выявление нарушений безопасности и политик в ваших приложениях и контейнерах. Она автоматически генерирует ведомость материалов по программному обеспечению, определяя все компоненты с открытым исходным кодом и их зависимости, а также отражает любые связанные с ними риски безопасности или лицензирования чтобы вы точно знали, что находится в ваших приложениях.
  • С помощью приборной панели Success Metrics вы можете увидеть, как быстро устраняются нарушения, просмотреть тенденции по трудозатратам и отследить среднее время внесения изменений в код. Этими KPI можно легко поделиться с высшим руководством.

Нужна помощь или совет?

У вас есть вопрос?Не уверены что именно вам нужно?Вам необходимо независимое экспертное мнение по информационной безопасности в бизнес терминах?

В рамках бесплатной 30-минутной консультации, ответим на любые ваши вопросы

Сервис обратного звонка RedConnect