为什么要扩展开源安全监控？

在SDLC的每个阶段自动发现并修复开源漏洞。

减少安全漏洞。改进开发工作流程

使用一种工具在整个软件供应链中扩展开源安全监控，并回收在软件开发生命周期中与风险作斗争所花费的时间。访问已知漏洞的不断发展的数据库，帮助您的团队在发生攻击之前检测威胁和不一致。

自动检测并修复开源依赖漏洞

将安全漏洞工具集成到您已经使用的git存储库中

通过跨开发和运营团队的大规模安全开发实践来避免攻击

为什么要扩展开源安全监控？

如2021年5月的网络安全行政命令所示，为应对日益增多的网络攻击，了解您的软件材料清单和更好地管理SDLC内的依赖风险是防止恶意活动的首要任务。

始终保持安全——不要把所有时间都花在上面。

当风险如此之高，风险有如此之多的途径时，管理您的软件供应链可能感觉像是一项不可能完成的任务。NexusLifecycle的设计目的是在开发生命周期的每个阶段持续监控问题，并在过程中识别潜在问题。而且，如果我们发现了一个问题，我们不会只是提醒您，让您去解决它。我们使用您的策略为您自动修复它。

说到软件开发，每个人都有不同的优先级。

Sonatype可以帮助解决所有问题。我们的工具使团队能够构建足够安全的软件，以满足最严格的安全要求，而不牺牲速度或创新。

开发人员的生命周期

您会被打断。它们是您工作的一部分。问题是他们什么时候妨碍了您的工作。我们将告诉您安全高效地构建所需的知识，并在您需要了解的时候告诉您。然后我们悄悄地继续我们的工作，并允许您们也这样做。

在不切换工具的情况下控制开源风险。

我们与您已经使用的最流行的管道和开发工具集成，因此您不必浪费任何时间来适应新的工具或流程。

通过源代码管理中的即时反馈加快速度。

与GitHub、GitLab和AtlassianBitbucket的集成会自动为违反开源策略的组件生成pull请求。

Lifecycle比较了任何活动分支上的差异，如果在拉/合并请求中引入了坏组件或漏洞，它会突出显示引入这些组件或漏洞的确切代码行，以及关于如何修复问题的详细建议。

当您想了解更多信息时，请深入了解。

有时您不想走自动修复路线——我们知道。如果您选择不依赖我们的策略引擎自动做出决策，我们将为您提供做出最明智决策所需的所有知识，以手动有效解决任何开源组件或依赖性问题。使用我们增强的比较功能比较和评估组件，以更好地确定项目的理想组件版本。

安全的生命周期

您的工作是确保风险不会出现在您供应链的一英里之内。这意味着不仅要保持警惕，而且要积极参与阻止风险的活动。

自动生成软件BOM表。

通过了解使用了哪些组件以及在哪里使用来验证策略遵从性。在短短几分钟内，为每个应用程序生成一个精确的软件物料清单（SBOM），以识别每个开源组件及其依赖项。

在不牺牲速度的情况下实施开源策略。

根据应用程序类型或组织创建自定义的安全、许可和体系结构策略，并在软件开发生命周期的每个阶段执行这些策略。

查看（并展示）结果。

您可以查看与平均解决时间（MTTR）相关的趋势，并通过一份报告向高级管理层演示风险降低情况，该报告显示了违规行为随时间的变化趋势，以及它们被纠正的速度。

但是等等，还有更多！

使用高级LegalPack增强您的Nexus生命周期功能。

通过自动化手动任务和提供法律工作流来简化OSS许可证合规性，从而更容易、更快地解决义务问题，为开发人员扫清了障碍。

NEXUSLIFECYCLE插件

高级法律包

管理许可证合规性问题不需要几天时间。

跨SDLC实现法律合规自动化

及时了解法律合规性是一项耗时的手动任务。您可能一年要花费数百到数千个小时（和美元）来收集法律数据，更不用说您花在审查这些信息上的时间了。Sonatype的高级法律包解决了法律合规性方面的难题。

高级LegalPack以NexusLifecycle强大的策略引擎为基础，以NexusIntelligence为动力，通过为法律团队和开发人员提供一种了解许可证义务的方式，并自动收集、编译、报告和修复OSS法律义务，立即简化了OSS许可证合规性，大大提高了团队生产力，消除了手动工作。

“NexusLifecycle使我们的法律团队能够花100%的时间解决问题，而不是花80%以上的时间寻找问题。”

——EQUIFAX公司

简化OSS合规性

节省时间，保持理智

创建归因报告可能是您最繁重的任务。收集和分析单个应用程序的许可证数据可能需要60个小时以上。我们的专有系统通过自动化法律数据收集和自动生成合规文档、归属报告和第三方通知，为您节省了这些时间。只需点击一个按钮，您就可以履行90%以上的义务，并根据需要保存、自定义和编辑报告。

切勿两次审查组件的义务

我们的合规工作流程将繁重的手动任务从您的待办事项列表中删除，从而更容易审查法律数据，管理和解决许可义务。我们会给您一份清单，列出您需要做的一切来解决问题。您甚至可以保存已履行的义务和归属决议，因此您永远不必两次查看同一组件的义务。

您关心的深层法律数据

Sonatype增强的法律数据涵盖了您做出最佳决策以履行法律义务所需的一切，包括通知文本、许可文本和版权声明。我们的机器学习算法和自然语言处理可以检测法律数据，并将其集成到您的合规工作流中，还可以提供有关如何最好地遵守义务的更多见解。

对您的义务有了新的理解

有时，您只需要一份许可证列表，并希望阅读其义务。我们的许可证义务审查工具（LORT）提供了组件使用的所有许可证的简明列表，因此您可以轻松查找许可证、查看带注释的许可证文本和导出列表。您甚至可以在我们的组件积压工作中搜索组件，并在那里阅读更多内容。

审核编辑：刘清