Als Gründer und CEO von Vor, hat Duck den OSS-Index erstellt, einen innovativen und kostenlosen Online-Index bekannter Open-Source-Software-Schwachstellen. Heute beinhaltet der Index mehr als 2,1 Millionen Pakete und detaillierte Informationen über mehr als 120.000 Schwachstellen in einer Reihe von Open-Source-Ökosystemen.

Zeitgleich mit der Akquisition führt Sonatype Nexus Lifecycle XC ein, einen neuen Datendienst, der über den Nexus IQ Server ausgeliefert wird und Unternehmen Komponenten-Informationen zur Verfügung stellt, die eine breite Palette von Open-Source-Ökosystemen und Formaten, wie Ruby, PHP, Swift, CocoaPods, Golang, C und C++ abdecken.

Die Open-Source-Intelligence-Landschaft

Im Vergleich zu den punktgenauen Open Source-Informationen, die Nexus Lifecycle für Java, JavaScript, NuGet und PyPI anbietet, stellen traditionelle Anbieter von Software Composition Analysis (SCA) -Tools seit Langem Open-Source-Informationen über ein breites Spektrum von Ökosystemen zur Verfügung.

Im Laufe der Zeit haben Unternehmen die einzigartige Genauigkeit von Nexus Lifecycle Daten für Java, JavaScript, NuGet und PyPI schätzen gelernt. Dennoch benötigen sie immer noch Open-Source-Informationen für eine Vielzahl anderer Ökosysteme. Ab sofort liefert Sonatype eine Win-Win-Intelligence-Engine, die die Tiefe von Lifecycle-Daten für maschinell automatisierte Open-Source-Steuerelemente mit der Breite der Lifecycle XC-Daten für eine grundlegende Open-Source-Governance kombiniert.

Unterstützende Zitate

"Software-Entwicklungsteams mit einer breiten und präzisen Sichtbarkeit in die Open-Source-Supply Chain zu stärken, ist entscheidend für die praktische Anwendung der Sicherheitshygiene. Das Weltklasse-Team von Sonatype hat den Weg bereitet, bemerkenswert genaue Komponenten-Informationen an die Spitze der DevOps-Bewegung zu bringen. Ich freue mich, künftig mit diesem erstaunlichen Team zusammenzuarbeiten und die Reise fortzusetzen. "- Ken Duck, CEO, Vor Security

"Seit seiner Einführung im Jahr 2012 hat Nexus Lifecycle eine enorme Akzeptanz im Markt erlebt, weil es bemerkenswert präzise und genaue Informationen in Bezug auf Open-Source-Komponenten in Java, JavaScript, NuGet und PyPI bietet. Während Unternehmenskunden, vor allem diejenigen, die DevOps praktizieren, einen hohen Wert auf die Genauigkeit und Präzision unserer Nexus-Lifecycle-Daten legen, benötigen sie auch Informationen über eine Vielzahl anderer Formate und Ökosysteme. Die Kombination von Lifecycle und Lifecycle XC bietet Kunden das Beste aus beiden Welten – ein Premium-Informations-Service, der die Durchsetzung von Open-Source-Richtlinien innerhalb einer DevOps-Pipeline vollständig automatisiert, sowie einen Bestandsdaten-Informations-Service, um die grundlegende Hygiene in alle anderen Ökosysteme zu übertragen. " – Wayne Jackson, CEO, Sonatype

"Der Aufbau und die Aufrechterhaltung des Vertrauens in eine digitale Welt erfordert einen integrierten Ansatz, um dieses Vertrauen über den gesamten Software Development Lifecycle (SDLC) einzubetten und zu quantifizieren. Führungskräfte im Bereich der Applikationsentwicklung sollten ihren SDLC-Ansatz neu überdenken, um unter Berücksichtigung der verschiedenen Abhängigkeiten und Akteure, eher eine vertrauenswürdige Supply Chain zu sein." – Mark Driver, Felix Gaehtgens, Mark O’Neill, Gartner, Bericht vom Mai 2017: "Managing Digital Trust in the Software -Development Life Cycle"

Zusätzliche Ressourcen

• Lesen Sie unseren neuesten Blog über die Akquisition
• Besuchen Sie unsere Website, um mehr zu erfahren
• Lesen Sie unseren Blog, "Automated Enforcement: The Not So Subtle Difference Between
  Sonatype Nexus and Everyone Else"