El enfoque de Sonatype en los desarrolladores brinda más información sobre las dependencias del software, excepciones de políticas más claras y soporte para usuarios de PHP. Esta actualización de la plataforma Nexus ayudará a los desarrolladores a remediar más fácilmente el uso vulnerable de código abierto en sus proyectos.
Nuevo en el ciclo de vida de Nexus
Muchas organizaciones todavía operan con una mentalidad de escanear y regañar cuando se trata de identificar vulnerabilidades. Un enfoque que no es efectivo para reducir proactivamente el riesgo del código abierto vulnerable.
La plataforma Nexus de Sonatype ya proporciona una guía de remediación integral para que los desarrolladores seleccionen los componentes más seguros. También puede identificar y reemplazar rápidamente los componentes vulnerables presentes en sus aplicaciones. Esta última versión de Nexus Lifecycle facilita aún más la corrección, al mismo tiempo que simplifica los flujos de trabajo para aprobar componentes que no se ajustan completamente a la política.
Estos cambios, además de una mejor inteligencia para los componentes de PHP, ayudan a los desarrolladores a identificar más rápidamente los componentes más vulnerables, ahorrándoles tiempo y reduciendo el riesgo.
Visualización de árboles de dependencia y solucionador transitivo
Los equipos de desarrollo de todo el mundo descargan componentes directos de código abierto todos los días. Por la naturaleza de cómo funciona el código abierto, estos proyectos se componen de múltiples proyectos de componentes. Estas se conocen como dependencias "transitivas", y puede haber cientos de ellas integradas en su software. Con cada componente nuevo, surge un riesgo creciente de componentes desconocidos. ¿Están actualizados y seguros?
Las indicaciones de que las dependencias directas están libres de problemas de seguridad a menudo no garantizan que los proyectos componentes estén seguros. Peor aún, encontrar y resolver los riesgos de seguridad generados por estas dependencias transitivas es una tarea compleja y difícil. Debido a la forma en que se escalan los grandes proyectos, los equipos de seguridad e ingeniería de software tienen que dedicar tiempo a averiguar qué dependencia directa generó una dependencia transitiva. Luego, una vez que determine qué equipo es el propietario de ese problema, debe priorizarse.
Especialmente para proyectos más grandes, rápidamente puede volverse imposible identificar y corregir de manera eficiente estos riesgos de seguridad. Entonces, ¿cómo resuelve todos estos riesgos de seguridad anidados en el software de sus componentes?
VISTA ESTRUCTURAL DE LOS COMPONENTES
Dependency Tree Visualization proporciona a los equipos de desarrollo una nueva vista gráfica que facilita la identificación y el seguimiento de bibliotecas vulnerables. El programa muestra la relación de las dependencias directas y transitivas, lo que ahorra tiempo que los equipos de desarrollo dedican a la investigación y los esfuerzos de remediación. Esto significa una priorización rápida de los componentes que se pueden resolver mediante la actualización.
Esta vista muestra las dependencias de los componentes y sus dependencias dentro de un informe de aplicación utilizando una visualización de árbol (imagen a continuación).
Más información : blog.sonatype.com
Fuente: somoslibres
