作為著名工件(Artifact)倉庫Apache Maven和Nexus的創立者,Sonatype一直在擴展其智能能力,已從先前圍繞著Java、JavaScript、.Net和Python組件,發展為涵蓋新的開源生態系統。這些新能力被打包成一個稱為Nexus Lifecycle XC的新產品。類似于已有的Nexus Lifecycle產品,新產品也通過Nexus IQ服務器交付。
Vor Security的創始人兼CEO Ken Duck曾負責OSS Index的創建,OSS Index是一種對開源軟件已知漏洞的免費在線索引。該索引當前包括了超過2100萬軟件包,以及在一系列開源生態系統中超過12萬個漏洞信息。Duck將會加入Sonatype的產品和工程團隊。
Sonatype的CMO Matt Howard告訴InfoQ:
企業在DevOps場景中看重的是精度和準確性,以及覆蓋面的廣泛性。這一收購使得我們拓展了那些易于產生大量誤報的商業產品間的空間,即針對那些對我們眼界過于狹窄的批評,進而拓展了我們的能力。這是一個雙贏的組件智能引擎。在知道智能是正確的情況下,DevOps客戶就可以安心地中斷構建,而瀑布模式客戶可以生成工件清單(BOM,Bill of Materials)。我們并不會安于現狀,我們將繼續投入時間為所有這些生態系統治理(Curate)數據,繼續提高精度和準確性。起初,Nexus XC將會是一個對Nexus Lifecycle用戶免費可用的智能服務。
DevSecOps是DevOps運動所衍生出一個子集,其所關注的涉及如何改變遺留在軟件開發和交付生命周期中的安全,并使安全成為每個人的工作。Nexus Lifecycle等工具使得開發人員在集成開發環境(IDE)中構建應用時可以采用組件智能,并通過告知更改以減少存在漏洞組件的數量。這些有漏洞的組件將會以此方式存活于生產平臺上。
此次收購的具體財務信息并未披露。
查看英文原文: Sonatype Acquires Vor Security to Expand Nexus Open-Source Component Support
京公網安備 11010502049343號