Laut "State of the Software Supply Chain Report" enthielten im Jahr 2016 7,2 % (1 von 14) der Open-Source-Komponenten, die in Repository-Manager heruntergeladen wurden, eine bekannte Sicherheitslücke. Unternehmen mit nicht existierenden oder manuellen Governance-Prozessen sind anfällig für gefährdete Open-Source-Komponenten, die ihren Weg in produktive Webanwendungen finden, was das Risiko von Datenschutzverletzungen drastisch erhöht.
"Entwickler verwenden Open-Source-Komponenten gerne, um Innovationen zu beschleunigen - aber keiner von ihnen möchte unwissentlich Sicherheitslücken in seine Anwendung einbauen", so Brian Fox, CTO von Sonatype. "Nexus Firewall verhindert automatisch, dass defekte Open-Source-Komponenten die Entwickler erreichen, wodurch Risiken bereits in der frühesten Phase des Entwicklungszyklus eliminiert werden. Die Ergebnisse sind unglaublich. Innerhalb der ersten 90 Tage nach dem Einsatz von Nexus Firewall konnte ein Kunde automatisch verhindern, dass 1.500 anfällige Komponenten in den Entwicklungszyklus eindringen konnten. Somit konnten 34.000 Stunden manueller Überprüfungen eliminiert werden."
"Anstatt zu warten, bis eine Anwendung zusammengesetzt ist, um diese bekannten Schwachstellen zu scannen und zu identifizieren, sollten Sie dieses Problem an der Quelle beheben, indem Sie die Entwickler warnen, diese bekannt anfälligen Komponenten nicht herunterzuladen und zu verwenden (und im Falle schwerwiegender Schwachstellen den Download zu blockieren)", schrieben die Gartner-Analysten Neil MacDonald und Ian Head in ihrem Bericht vom 3. Oktober 2017, "10 Things to Get Right for Successful DevSecOps“. "Um dieses Problem zu beheben, bieten einige Hersteller eine 'OSS-Firewall' (Sonatype Nexus Firewall) an, um Entwicklern den Sicherheitsstatus von Bibliotheken aufzuzeigen, damit sie fundierte Entscheidungen über die zu verwendenden Versionen treffen zu können. Mit diesem Ansatz kann der Entwickler Downloads von Komponenten und Bibliotheken mit bekannten, schwerwiegenden Schwachstellen (z. B. basierend auf dem Schweregrad des zugewiesenen CVE) explizit blockieren.
Nexus Firewall ist jetzt für alle Nexus Repository OSS-Benutzer verfügbar. Zu den Vorteilen zählen:
- Automatisierte Open-Source-Governance-Richtlinien zum frühestmöglichen Zeitpunkt im Lebenszyklus der Softwareentwicklung.
- Verhindern, dass anfällige Open-Source-Komponenten in Ihre Software-Lieferkette gelangen, indem sie am Perimeter blockiert und unter Quarantäne gestellt werden.
- Sehen Sie sich ein Video an, das Nexus Firewall in Aktion demonstriert.
- Lesen Sie unsere neuesten Blogpost über Nexus Firewall.
- Schauen Sie sich unsere Firewall Infographics an.