在SDLC的每個(gè)階段自動(dòng)發(fā)現(xiàn)并修復(fù)開(kāi)源漏洞。

減少安全漏洞。改進(jìn)開(kāi)發(fā)工作流程

使用一種工具在整個(gè)軟件供應(yīng)鏈中擴(kuò)展開(kāi)源安全監(jiān)控，并回收在軟件開(kāi)發(fā)生命周期中與風(fēng)險(xiǎn)作斗爭(zhēng)所花費(fèi)的時(shí)間。訪問(wèn)已知漏洞的不斷發(fā)展的數(shù)據(jù)庫(kù)，幫助您的團(tuán)隊(duì)在發(fā)生攻擊之前檢測(cè)威脅和不一致。

自動(dòng)檢測(cè)并修復(fù)開(kāi)源依賴漏洞

將安全漏洞工具集成到您已經(jīng)使用的git存儲(chǔ)庫(kù)中

通過(guò)跨開(kāi)發(fā)和運(yùn)營(yíng)團(tuán)隊(duì)的大規(guī)模安全開(kāi)發(fā)實(shí)踐來(lái)避免攻擊

為什么要擴(kuò)展開(kāi)源安全監(jiān)控？

如2021年5月的網(wǎng)絡(luò)安全行政命令所示，為應(yīng)對(duì)日益增多的網(wǎng)絡(luò)攻擊，了解您的軟件材料清單和更好地管理SDLC內(nèi)的依賴風(fēng)險(xiǎn)是防止惡意活動(dòng)的首要任務(wù)。

始終保持安全——不要把所有時(shí)間都花在上面。

當(dāng)風(fēng)險(xiǎn)如此之高，風(fēng)險(xiǎn)有如此之多的途徑時(shí)，管理您的軟件供應(yīng)鏈可能感覺(jué)像是一項(xiàng)不可能完成的任務(wù)。NexusLifecycle的設(shè)計(jì)目的是在開(kāi)發(fā)生命周期的每個(gè)階段持續(xù)監(jiān)控問(wèn)題，并在過(guò)程中識(shí)別潛在問(wèn)題。而且，如果我們發(fā)現(xiàn)了一個(gè)問(wèn)題，我們不會(huì)只是提醒您，讓您去解決它。我們使用您的策略為您自動(dòng)修復(fù)它。

說(shuō)到軟件開(kāi)發(fā)，每個(gè)人都有不同的優(yōu)先級(jí)。

Sonatype可以幫助解決所有問(wèn)題。我們的工具使團(tuán)隊(duì)能夠構(gòu)建足夠安全的軟件，以滿足最嚴(yán)格的安全要求，而不犧牲速度或創(chuàng)新。

開(kāi)發(fā)人員的生命周期

您會(huì)被打斷。它們是您工作的一部分。問(wèn)題是他們什么時(shí)候妨礙了您的工作。我們將告訴您安全高效地構(gòu)建所需的知識(shí)，并在您需要了解的時(shí)候告訴您。然后我們悄悄地繼續(xù)我們的工作，并允許您們也這樣做。

在不切換工具的情況下控制開(kāi)源風(fēng)險(xiǎn)。

我們與您已經(jīng)使用的最流行的管道和開(kāi)發(fā)工具集成，因此您不必浪費(fèi)任何時(shí)間來(lái)適應(yīng)新的工具或流程。

通過(guò)源代碼管理中的即時(shí)反饋加快速度。

與GitHub、GitLab和AtlassianBitbucket的集成會(huì)自動(dòng)為違反開(kāi)源策略的組件生成pull請(qǐng)求。

Lifecycle比較了任何活動(dòng)分支上的差異，如果在拉/合并請(qǐng)求中引入了壞組件或漏洞，它會(huì)突出顯示引入這些組件或漏洞的確切代碼行，以及關(guān)于如何修復(fù)問(wèn)題的詳細(xì)建議。

當(dāng)您想了解更多信息時(shí)，請(qǐng)深入了解。

有時(shí)您不想走自動(dòng)修復(fù)路線——我們知道。如果您選擇不依賴我們的策略引擎自動(dòng)做出決策，我們將為您提供做出最明智決策所需的所有知識(shí)，以手動(dòng)有效解決任何開(kāi)源組件或依賴性問(wèn)題。使用我們?cè)鰪?qiáng)的比較功能比較和評(píng)估組件，以更好地確定項(xiàng)目的理想組件版本。

安全的生命周期

您的工作是確保風(fēng)險(xiǎn)不會(huì)出現(xiàn)在您供應(yīng)鏈的一英里之內(nèi)。這意味著不僅要保持警惕，而且要積極參與阻止風(fēng)險(xiǎn)的活動(dòng)。

自動(dòng)生成軟件BOM表。

通過(guò)了解使用了哪些組件以及在哪里使用來(lái)驗(yàn)證策略遵從性。在短短幾分鐘內(nèi)，為每個(gè)應(yīng)用程序生成一個(gè)精確的軟件物料清單（SBOM），以識(shí)別每個(gè)開(kāi)源組件及其依賴項(xiàng)。

在不犧牲速度的情況下實(shí)施開(kāi)源策略。

根據(jù)應(yīng)用程序類型或組織創(chuàng)建自定義的安全、許可和體系結(jié)構(gòu)策略，并在軟件開(kāi)發(fā)生命周期的每個(gè)階段執(zhí)行這些策略。

查看（并展示）結(jié)果。

您可以查看與平均解決時(shí)間（MTTR）相關(guān)的趨勢(shì)，并通過(guò)一份報(bào)告向高級(jí)管理層演示風(fēng)險(xiǎn)降低情況，該報(bào)告顯示了違規(guī)行為隨時(shí)間的變化趨勢(shì)，以及它們被糾正的速度。

但是等等，還有更多！

使用高級(jí)LegalPack增強(qiáng)您的Nexus生命周期功能。

通過(guò)自動(dòng)化手動(dòng)任務(wù)和提供法律工作流來(lái)簡(jiǎn)化OSS許可證合規(guī)性，從而更容易、更快地解決義務(wù)問(wèn)題，為開(kāi)發(fā)人員掃清了障礙。

NEXUSLIFECYCLE插件

高級(jí)法律包

管理許可證合規(guī)性問(wèn)題不需要幾天時(shí)間。

跨SDLC實(shí)現(xiàn)法律合規(guī)自動(dòng)化

及時(shí)了解法律合規(guī)性是一項(xiàng)耗時(shí)的手動(dòng)任務(wù)。您可能一年要花費(fèi)數(shù)百到數(shù)千個(gè)小時(shí)（和美元）來(lái)收集法律數(shù)據(jù)，更不用說(shuō)您花在審查這些信息上的時(shí)間了。Sonatype的高級(jí)法律包解決了法律合規(guī)性方面的難題。

高級(jí)LegalPack以NexusLifecycle強(qiáng)大的策略引擎為基礎(chǔ)，以NexusIntelligence為動(dòng)力，通過(guò)為法律團(tuán)隊(duì)和開(kāi)發(fā)人員提供一種了解許可證義務(wù)的方式，并自動(dòng)收集、編譯、報(bào)告和修復(fù)OSS法律義務(wù)，立即簡(jiǎn)化了OSS許可證合規(guī)性，大大提高了團(tuán)隊(duì)生產(chǎn)力，消除了手動(dòng)工作。

“NexusLifecycle使我們的法律團(tuán)隊(duì)能夠花100%的時(shí)間解決問(wèn)題，而不是花80%以上的時(shí)間尋找問(wèn)題。”

——EQUIFAX公司

簡(jiǎn)化OSS合規(guī)性

節(jié)省時(shí)間，保持理智

創(chuàng)建歸因報(bào)告可能是您最繁重的任務(wù)。收集和分析單個(gè)應(yīng)用程序的許可證數(shù)據(jù)可能需要60個(gè)小時(shí)以上。我們的專有系統(tǒng)通過(guò)自動(dòng)化法律數(shù)據(jù)收集和自動(dòng)生成合規(guī)文檔、歸屬報(bào)告和第三方通知，為您節(jié)省了這些時(shí)間。只需點(diǎn)擊一個(gè)按鈕，您就可以履行90%以上的義務(wù)，并根據(jù)需要保存、自定義和編輯報(bào)告。

切勿兩次審查組件的義務(wù)

我們的合規(guī)工作流程將繁重的手動(dòng)任務(wù)從您的待辦事項(xiàng)列表中刪除，從而更容易審查法律數(shù)據(jù)，管理和解決許可義務(wù)。我們會(huì)給您一份清單，列出您需要做的一切來(lái)解決問(wèn)題。您甚至可以保存已履行的義務(wù)和歸屬?zèng)Q議，因此您永遠(yuǎn)不必兩次查看同一組件的義務(wù)。

您關(guān)心的深層法律數(shù)據(jù)

Sonatype增強(qiáng)的法律數(shù)據(jù)涵蓋了您做出最佳決策以履行法律義務(wù)所需的一切，包括通知文本、許可文本和版權(quán)聲明。我們的機(jī)器學(xué)習(xí)算法和自然語(yǔ)言處理可以檢測(cè)法律數(shù)據(jù)，并將其集成到您的合規(guī)工作流中，還可以提供有關(guān)如何最好地遵守義務(wù)的更多見(jiàn)解。

對(duì)您的義務(wù)有了新的理解

有時(shí)，您只需要一份許可證列表，并希望閱讀其義務(wù)。我們的許可證義務(wù)審查工具（LORT）提供了組件使用的所有許可證的簡(jiǎn)明列表，因此您可以輕松查找許可證、查看帶注釋的許可證文本和導(dǎo)出列表。您甚至可以在我們的組件積壓工作中搜索組件，并在那里閱讀更多內(nèi)容。

審核編輯：劉清