在SDLC的每個階段自動發(fā)現(xiàn)并修復(fù)開源漏洞。

減少安全漏洞。改進開發(fā)工作流程

使用一種工具在整個軟件供應(yīng)鏈中擴展開源安全監(jiān)控，并回收在軟件開發(fā)生命周期中與風(fēng)險作斗爭所花費的時間。訪問已知漏洞的不斷發(fā)展的數(shù)據(jù)庫，幫助您的團隊在發(fā)生攻擊之前檢測威脅和不一致。

自動檢測并修復(fù)開源依賴漏洞

將安全漏洞工具集成到您已經(jīng)使用的git存儲庫中

通過跨開發(fā)和運營團隊的大規(guī)模安全開發(fā)實踐來避免攻擊

為什么要擴展開源安全監(jiān)控？

如2021年5月的網(wǎng)絡(luò)安全行政命令所示，為應(yīng)對日益增多的網(wǎng)絡(luò)攻擊，了解您的軟件材料清單和更好地管理SDLC內(nèi)的依賴風(fēng)險是防止惡意活動的首要任務(wù)。

始終保持安全——不要把所有時間都花在上面。

當(dāng)風(fēng)險如此之高，風(fēng)險有如此之多的途徑時，管理您的軟件供應(yīng)鏈可能感覺像是一項不可能完成的任務(wù)。NexusLifecycle的設(shè)計目的是在開發(fā)生命周期的每個階段持續(xù)監(jiān)控問題，并在過程中識別潛在問題。而且，如果我們發(fā)現(xiàn)了一個問題，我們不會只是提醒您，讓您去解決它。我們使用您的策略為您自動修復(fù)它。

說到軟件開發(fā)，每個人都有不同的優(yōu)先級。

Sonatype可以幫助解決所有問題。我們的工具使團隊能夠構(gòu)建足夠安全的軟件，以滿足最嚴(yán)格的安全要求，而不犧牲速度或創(chuàng)新。

開發(fā)人員的生命周期

您會被打斷。它們是您工作的一部分。問題是他們什么時候妨礙了您的工作。我們將告訴您安全高效地構(gòu)建所需的知識，并在您需要了解的時候告訴您。然后我們悄悄地繼續(xù)我們的工作，并允許您們也這樣做。

在不切換工具的情況下控制開源風(fēng)險。

我們與您已經(jīng)使用的最流行的管道和開發(fā)工具集成，因此您不必浪費任何時間來適應(yīng)新的工具或流程。

通過源代碼管理中的即時反饋加快速度。

與GitHub、GitLab和AtlassianBitbucket的集成會自動為違反開源策略的組件生成pull請求。

Lifecycle比較了任何活動分支上的差異，如果在拉/合并請求中引入了壞組件或漏洞，它會突出顯示引入這些組件或漏洞的確切代碼行，以及關(guān)于如何修復(fù)問題的詳細(xì)建議。

當(dāng)您想了解更多信息時，請深入了解。

有時您不想走自動修復(fù)路線——我們知道。如果您選擇不依賴我們的策略引擎自動做出決策，我們將為您提供做出最明智決策所需的所有知識，以手動有效解決任何開源組件或依賴性問題。使用我們增強的比較功能比較和評估組件，以更好地確定項目的理想組件版本。

安全的生命周期

您的工作是確保風(fēng)險不會出現(xiàn)在您供應(yīng)鏈的一英里之內(nèi)。這意味著不僅要保持警惕，而且要積極參與阻止風(fēng)險的活動。

自動生成軟件BOM表。

通過了解使用了哪些組件以及在哪里使用來驗證策略遵從性。在短短幾分鐘內(nèi)，為每個應(yīng)用程序生成一個精確的軟件物料清單（SBOM），以識別每個開源組件及其依賴項。

在不犧牲速度的情況下實施開源策略。

根據(jù)應(yīng)用程序類型或組織創(chuàng)建自定義的安全、許可和體系結(jié)構(gòu)策略，并在軟件開發(fā)生命周期的每個階段執(zhí)行這些策略。

查看（并展示）結(jié)果。

您可以查看與平均解決時間（MTTR）相關(guān)的趨勢，并通過一份報告向高級管理層演示風(fēng)險降低情況，該報告顯示了違規(guī)行為隨時間的變化趨勢，以及它們被糾正的速度。

但是等等，還有更多！

使用高級LegalPack增強您的Nexus生命周期功能。

通過自動化手動任務(wù)和提供法律工作流來簡化OSS許可證合規(guī)性，從而更容易、更快地解決義務(wù)問題，為開發(fā)人員掃清了障礙。

NEXUSLIFECYCLE插件

高級法律包

管理許可證合規(guī)性問題不需要幾天時間。

跨SDLC實現(xiàn)法律合規(guī)自動化

及時了解法律合規(guī)性是一項耗時的手動任務(wù)。您可能一年要花費數(shù)百到數(shù)千個小時（和美元）來收集法律數(shù)據(jù)，更不用說您花在審查這些信息上的時間了。Sonatype的高級法律包解決了法律合規(guī)性方面的難題。

高級LegalPack以NexusLifecycle強大的策略引擎為基礎(chǔ)，以NexusIntelligence為動力，通過為法律團隊和開發(fā)人員提供一種了解許可證義務(wù)的方式，并自動收集、編譯、報告和修復(fù)OSS法律義務(wù)，立即簡化了OSS許可證合規(guī)性，大大提高了團隊生產(chǎn)力，消除了手動工作。

“NexusLifecycle使我們的法律團隊能夠花100%的時間解決問題，而不是花80%以上的時間尋找問題?！?/p>

——EQUIFAX公司

簡化OSS合規(guī)性

節(jié)省時間，保持理智

創(chuàng)建歸因報告可能是您最繁重的任務(wù)。收集和分析單個應(yīng)用程序的許可證數(shù)據(jù)可能需要60個小時以上。我們的專有系統(tǒng)通過自動化法律數(shù)據(jù)收集和自動生成合規(guī)文檔、歸屬報告和第三方通知，為您節(jié)省了這些時間。只需點擊一個按鈕，您就可以履行90%以上的義務(wù)，并根據(jù)需要保存、自定義和編輯報告。

切勿兩次審查組件的義務(wù)

我們的合規(guī)工作流程將繁重的手動任務(wù)從您的待辦事項列表中刪除，從而更容易審查法律數(shù)據(jù)，管理和解決許可義務(wù)。我們會給您一份清單，列出您需要做的一切來解決問題。您甚至可以保存已履行的義務(wù)和歸屬決議，因此您永遠(yuǎn)不必兩次查看同一組件的義務(wù)。

您關(guān)心的深層法律數(shù)據(jù)

Sonatype增強的法律數(shù)據(jù)涵蓋了您做出最佳決策以履行法律義務(wù)所需的一切，包括通知文本、許可文本和版權(quán)聲明。我們的機器學(xué)習(xí)算法和自然語言處理可以檢測法律數(shù)據(jù)，并將其集成到您的合規(guī)工作流中，還可以提供有關(guān)如何最好地遵守義務(wù)的更多見解。

對您的義務(wù)有了新的理解

有時，您只需要一份許可證列表，并希望閱讀其義務(wù)。我們的許可證義務(wù)審查工具（LORT）提供了組件使用的所有許可證的簡明列表，因此您可以輕松查找許可證、查看帶注釋的許可證文本和導(dǎo)出列表。您甚至可以在我們的組件積壓工作中搜索組件，并在那里閱讀更多內(nèi)容。

審核編輯：劉清