在SDLC的每個階段自動發現并修復開源漏洞。

減少安全漏洞。改進開發工作流程

使用一種工具在整個軟件供應鏈中擴展開源安全監控，并回收在軟件開發生命周期中與風險作斗爭所花費的時間。訪問已知漏洞的不斷發展的數據庫，幫助您的團隊在發生攻擊之前檢測威脅和不一致。

自動檢測并修復開源依賴漏洞

將安全漏洞工具集成到您已經使用的git存儲庫中

通過跨開發和運營團隊的大規模安全開發實踐來避免攻擊

為什么要擴展開源安全監控？

如2021年5月的網絡安全行政命令所示，為應對日益增多的網絡攻擊，了解您的軟件材料清單和更好地管理SDLC內的依賴風險是防止惡意活動的首要任務。

始終保持安全——不要把所有時間都花在上面。

當風險如此之高，風險有如此之多的途徑時，管理您的軟件供應鏈可能感覺像是一項不可能完成的任務。NexusLifecycle的設計目的是在開發生命周期的每個階段持續監控問題，并在過程中識別潛在問題。而且，如果我們發現了一個問題，我們不會只是提醒您，讓您去解決它。我們使用您的策略為您自動修復它。

說到軟件開發，每個人都有不同的優先級。

Sonatype可以幫助解決所有問題。我們的工具使團隊能夠構建足夠安全的軟件，以滿足最嚴格的安全要求，而不犧牲速度或創新。

開發人員的生命周期

您會被打斷。它們是您工作的一部分。問題是他們什么時候妨礙了您的工作。我們將告訴您安全高效地構建所需的知識，并在您需要了解的時候告訴您。然后我們悄悄地繼續我們的工作，并允許您們也這樣做。

在不切換工具的情況下控制開源風險。

我們與您已經使用的最流行的管道和開發工具集成，因此您不必浪費任何時間來適應新的工具或流程。

通過源代碼管理中的即時反饋加快速度。

與GitHub、GitLab和AtlassianBitbucket的集成會自動為違反開源策略的組件生成pull請求。

Lifecycle比較了任何活動分支上的差異，如果在拉/合并請求中引入了壞組件或漏洞，它會突出顯示引入這些組件或漏洞的確切代碼行，以及關于如何修復問題的詳細建議。

當您想了解更多信息時，請深入了解。

有時您不想走自動修復路線——我們知道。如果您選擇不依賴我們的策略引擎自動做出決策，我們將為您提供做出最明智決策所需的所有知識，以手動有效解決任何開源組件或依賴性問題。使用我們增強的比較功能比較和評估組件，以更好地確定項目的理想組件版本。

安全的生命周期

您的工作是確保風險不會出現在您供應鏈的一英里之內。這意味著不僅要保持警惕，而且要積極參與阻止風險的活動。

自動生成軟件BOM表。

通過了解使用了哪些組件以及在哪里使用來驗證策略遵從性。在短短幾分鐘內，為每個應用程序生成一個精確的軟件物料清單（SBOM），以識別每個開源組件及其依賴項。

在不犧牲速度的情況下實施開源策略。

根據應用程序類型或組織創建自定義的安全、許可和體系結構策略，并在軟件開發生命周期的每個階段執行這些策略。

查看（并展示）結果。

您可以查看與平均解決時間（MTTR）相關的趨勢，并通過一份報告向高級管理層演示風險降低情況，該報告顯示了違規行為隨時間的變化趨勢，以及它們被糾正的速度。

但是等等，還有更多！

使用高級LegalPack增強您的Nexus生命周期功能。

通過自動化手動任務和提供法律工作流來簡化OSS許可證合規性，從而更容易、更快地解決義務問題，為開發人員掃清了障礙。

NEXUSLIFECYCLE插件

高級法律包

管理許可證合規性問題不需要幾天時間。

跨SDLC實現法律合規自動化

及時了解法律合規性是一項耗時的手動任務。您可能一年要花費數百到數千個小時（和美元）來收集法律數據，更不用說您花在審查這些信息上的時間了。Sonatype的高級法律包解決了法律合規性方面的難題。

高級LegalPack以NexusLifecycle強大的策略引擎為基礎，以NexusIntelligence為動力，通過為法律團隊和開發人員提供一種了解許可證義務的方式，并自動收集、編譯、報告和修復OSS法律義務，立即簡化了OSS許可證合規性，大大提高了團隊生產力，消除了手動工作。

“NexusLifecycle使我們的法律團隊能夠花100%的時間解決問題，而不是花80%以上的時間尋找問題。”

——EQUIFAX公司

簡化OSS合規性

節省時間，保持理智

創建歸因報告可能是您最繁重的任務。收集和分析單個應用程序的許可證數據可能需要60個小時以上。我們的專有系統通過自動化法律數據收集和自動生成合規文檔、歸屬報告和第三方通知，為您節省了這些時間。只需點擊一個按鈕，您就可以履行90%以上的義務，并根據需要保存、自定義和編輯報告。

切勿兩次審查組件的義務

我們的合規工作流程將繁重的手動任務從您的待辦事項列表中刪除，從而更容易審查法律數據，管理和解決許可義務。我們會給您一份清單，列出您需要做的一切來解決問題。您甚至可以保存已履行的義務和歸屬決議，因此您永遠不必兩次查看同一組件的義務。

您關心的深層法律數據

Sonatype增強的法律數據涵蓋了您做出最佳決策以履行法律義務所需的一切，包括通知文本、許可文本和版權聲明。我們的機器學習算法和自然語言處理可以檢測法律數據，并將其集成到您的合規工作流中，還可以提供有關如何最好地遵守義務的更多見解。

對您的義務有了新的理解

有時，您只需要一份許可證列表，并希望閱讀其義務。我們的許可證義務審查工具（LORT）提供了組件使用的所有許可證的簡明列表，因此您可以輕松查找許可證、查看帶注釋的許可證文本和導出列表。您甚至可以在我們的組件積壓工作中搜索組件，并在那里閱讀更多內容。

審核編輯：劉清