Millionen Entwickler erhalten Schutz von Sonatype

Nexus Firewall auch für Open-Source-Repositories

| Autor: Stephan Augsten

Die Nexus Firewall soll verbuggte und unsichere Open-Source-Komponenten von der Code-Pipeline fernhalten.
Die Nexus Firewall soll verbuggte und unsichere Open-Source-Komponenten von der Code-Pipeline fernhalten. (Bild: Sonatype)

Etwa zehn Millionen Entwickler nutzen laut Sonatype das Nexus Open Source Repository, um zum Beispiel ihre Build-Umgebung Maven zu füttern. Sie alle können nun künftig die Nexus Firewall nutzen, um anfällige Open-Source-Komponenten aus ihrer Pipeline fernzuhalten.

Die Nexus Firewall arbeitet automatisiert auf Basis von Open-Source-Governance-Richtlinien. Anfällige und fehlerbehaftete Open-Source-Komponenten lassen sich damit bereits am Perimeter blockieren und unter Quarantäne stellen. Bislang war die Nexus Firewall den Abonnenten von Nexus Repository Pro vorbehalten, nun profitieren auch Nutzer der freien Version von mehr Sicherheit.

Entwickler greifen nach Erfahrung von Brian Fox, CTO von Sonatype, aus Effizienzgründen gerne auf Open-Source-Komponenten zurück, „aber keiner von ihnen möchte unwissentlich Sicherheitslücken in seine Anwendung einbauen.“ Laut „State of the Software Supply Chain Report“ enthielten im Jahr 2016 7,2 Prozent der Open-Source-Komponenten, die in Repository-Manager heruntergeladen wurden, eine bekannte Sicherheitslücke.

Mit der Nexus Firewall lassen sich Downloads von Komponenten und Bibliotheken mit bekannten, schwerwiegenden Schwachstellen – z. B. basierend auf dem Schweregrad des zugewiesenen CVE – explizit blockieren. Ein Kunde habe beispielsweise innerhalb der ersten 90 Tage insgesamt 1.500 anfällige Komponenten aus dem Entwicklungszyklus fernhalten können, berichtet Biran Fox. „Somit konnten 34.000 Stunden manueller Überprüfungen eliminiert werden.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45170572 / Coding & Collaboration)