Copyright © 2018-2022 All Rights Reserved.
了解最新技术文章
是否可以进一步改进成熟的平台来帮助团队完成软件开发生命周期(SDLC)?答案是肯定的!Sonatype Lifecycle 旨在帮助左移开发流程,因为它持续监控 SDLC 每个阶段的问题并确保自动修复以保持开发进展。
Sonatype Lifecycle由Sonatype Intelligence提供支持,是开发人员和安全团队之间的桥梁,完美平衡了全力推动的动力(开发人员速度)与确保开发管道和生产设置安全健康的需求(应用程序安全性) 。
随着软件开发环境和安全威胁的不断发展,Sonatype Lifecycle 不断应对新挑战并提供新特性和功能。Sonatype 的开发团队定期发布 Lifecycle 的更新和新版本,以跟上行业趋势和客户需求。让我们快速浏览一下最近的一些更新,这些更新将进一步实现 SDLC 流程的现代化。
Sonatype IQ 服务器高可用性 (HA)
无法访问为存储库、生命周期和防火墙提供支持的 IQ 服务器可能会导致操作完全停止。IQ Server 高可用性 (HA) 选项消除了停机时间,确保始终在线、弹性架构。IQ Server HA 经过测试适用于本地部署和 AWS 云,提供水平可扩展性和主动-主动集群配置。
豁免增强功能
豁免是开发者工具箱中的重要组成部分。生命周期中豁免功能的最新增强有助于操作风险的日常管理。其中的一个关键部分是豁免仪表板,它允许用户
查看各组织发布的豁免。
应用过滤器告诉您正在修复哪些部分。
请留意豁免的到期日期。
深入了解哪些地方出现例外情况。
通知利益相关者并管理不同应用程序的豁免。
Maven 搜索 - 新门户
开源的出版商和消费者欢欣鼓舞!新门户为基于浏览器的 Maven Central 用户提供了增强的用户体验。它具有改进的用于发布组件的浏览器布局和改进的用于搜索 OSS 工件的用户界面。自动化允许用户入站请求过程在几秒钟内完成,无需任何手动干预。
规模化组织
对于许多较大的客户而言,其 SCA 工具中的扁平层次结构(例如根组织、子组织以及他们使用的软件应用程序)是不够的。他们需要一个更深入、更灵活的结构,可以在其中添加部门、部门和部门内的不同团队、因部门、项目等而异的应用程序组。
借助N 级层次结构功能,我们重新设计了 UI 和应用程序逻辑,以确保数据更改适用于组织层次结构中的适当节点。简而言之,生命周期现在可以对任何组织结构和决策进行建模;可以跨该结构中的任何节点轻松管理权限、策略和配置。
例如,组织可以决定是否要对所有公司、特定组织、一组应用程序或仅一个特定应用程序的策略、权限或数据应用更改。
大规模组织可提供帮助
板载应用程序
继承政策
跨多级管理层次结构管理开源
可视化层次结构和组织内的应用程序版本控制
通知和操作覆盖等附加功能可以帮助您做出更好、更及时的决策。
安全定制增强(用户定制安全数据)
安全专业人员现在可以使用与其组织和部署环境相关的细粒度详细信息来定制 Sonatype 的世界级安全数据。
用户现在可以添加
自定义 CVSS 指标
时间和环境要求
自定义严重性评分
自定义修复通知
附加元数据
添加了额外的策略约束,以便可以利用这些新信息来最大限度地发挥补救作用,并确保团队首先解决最具影响力的安全漏洞。
Maven调用流程分析
在软件组成分析中,用户通常会识别具有漏洞的依赖项。然而,仅仅拥有这种依赖关系并不一定意味着存在从应用程序到依赖关系中易受攻击的方法的代码路径。
Maven 调用流分析通过确定是否存在从代码到易受攻击方法的路径来解决此问题。如果有,它会快速发布策略警报,让用户知道它需要首先进行修复。
从本质上讲,呼叫流分析允许我们的客户确定要修复的漏洞的优先级。这有助于他们瞄准并修复那些最有可能影响其安全和代码质量的问题,并有效减少“攻击面”。
内源洞察力
许多客户拥有使用开源软件组件在内部开发的专有代码。然后,该代码用于开发投入生产的新应用程序。也就是说,该专有代码可能继承了可被利用对组织造成严重损害的漏洞。或者更糟糕的是,可能会使用受影响代码的几家集团公司。
Sonatype InnerSource Insight 使组织能够了解自己的内部源(专有组件),并有助于降低总体成本和漏洞暴露。除了增强安全状况之外,此功能还可以减少确定问题所在所需的时间,从而显着提高开发人员的工作效率。
Sonatype 竭尽全力为您提供帮助,并提供大量有关入门和最佳实践的文档。如果您对 Lifecycle 如何帮助组织实现完美的开发工作流程还有更多疑问,请立即预订演示。我们的专家随时准备与您交谈。
售前咨询专员
