Sonatype stellt Abhängigkeitsmanagement der nächsten Generation vor | Pressemitteilung

Genome.One
und Nexus Lifecycle

Die Zukunft der Präzisionsmedizin

Genome.One ist ein Unternehmen für Gesundheitsinformationen, das versucht, mithilfe von klinischen vollständigen Genomsequenzierungen und -analysen Antworten auf Gesundheitsfragen zu geben. Ziel des Unternehmens ist es, das Leben von Patienten, Familien und der Gesellschaft auf der ganzen Welt mithilfe von Präzisionsmedizin zu verbessern. Im Mittelpunkt aller Aktivitäten des Unternehmens stehen Software-Anwendungen.

Genome.One forscht auf den Gebieten Krankheitsdiagnostik, Genomentschlüsselung, Genomforschung für die persönliche Gesundheit und Anwendungen in der Präzisionsmedizin. Dabei nimmt die Software-Innovation eine zentrale Rolle ein. Nexus Repository, Nexus Firewall und Nexus Lifecycle werden eingesetzt, um Lizenzierungs-, Sicherheits- und Governance-Richtlinien im Zusammenhang mit Open-Source-Komponenten automatisch durchzusetzen.

Die Herausforderung: Verwaltung der Open-Source-Nutzung in großem Maßstab

Der größte Stakeholder für das Entwicklungsteam bei Genome.One sind Projekte, die intern im Unternehmen stattfinden und die der klinischen Diagnose durch Genomik dienen. Das Team muss Regeln, Richtlinien sowie Vorgaben der Regierung und dem the australischen Gesundheitsministerium als weiterem wichtigen Stakeholder einhalten. 

Tudor Groza, CTO bei Genome One, erklärt, wie er auf die erste Herausforderung aufmerksam wurde. „Meine Kollegen aus der Rechtsabteilung haben mir die Pistole auf die Brust gesetzt und mir unmissverständlich klar gemacht, dass ich mich um die Governance der Open-Source-Komponenten kümmern muss. Zuerst führte ich diesen Prozess manuell durch. Es war sehr aufwändig, die Lizenzierung und die Abhängigkeiten manuell auf einer der früheren Plattformen zu prüfen. “

Die erste manuelle Aufgabe musste in einer Word-Datei durchgeführt werden, um die Sache für die Rechtsabteilung zu erleichtern. Nach drei Monaten gab es ein manuelles Update für eine der Abhängigkeiten und dann eine weitere manuelle Prüfung, um sicherzustellen, dass die Lizenzen noch die gleichen waren. Damit war der Prozess abgeschlossen. 

„Wie Sie sich vielleicht vorstellen können, habe ich mich in meinem Leben zu diesem Zeitpunkt nicht gerade wohl gefühlt“, erinnert sich Groza an den Prozess zurück. „Ich glaube nicht, dass wir uns groß von allen anderen Unternehmen unterscheiden. Es wurde nur wenig getan, um die Komponenten nach der Bereitstellung innerhalb einer Anwendung weiter zu überwachen. Doch ich war mir sicher, dass es irgendwo eine Lösung geben muss, die sich genau darum kümmert.“

„Nachdem wir eine Demo von Nexus IQ Server gesehen hatten, änderte sich unsere Perspektive und wir legten den Fokus nicht mehr nur auf die Lizenzprüfung. Die Lösung wird nun primär genutzt, um Sicherheitslücken zu finden und Richtlinien für die Sicherheitslücken zu formulieren.“
– Tudor Groza, Chief Technical Officer, Genome.One

Die Lösung: Automatisierung der Open-Source-Governance und der Verwaltung von Richtlinien mit Nexus Lifecycle

Als Software-Entwicklungsteam begann Genome.One Anfang 2017 Produkte für seine Stakeholder zu entwickeln. Zuerst wollten sie ein Artefakt-Repository einrichten.

„Um ehrlich zu sein, gab es nicht so viele Optionen. Wir schauten uns zuerst Artifactory an. Aber diese Lösung funktionierte einfach nicht für unsere Zwecke. Nexus passte am besten zu unseren Anforderungen. Die Einrichtung war sehr leicht und wir konnten es sofort nutzen. Java und NPM Proxy waren die naheliegenden Lösungen, als es um die Verwaltung von Binärdateien und die Veröffentlichung über Maven ging.

Genome.One durchläuft eine Continuous Integration-Pipeline-Schleife, wobei die Nexus-Plattform Teil dieser Integration ist. Das Entwicklungsteam war von der Implementierung des Systems für automatisierte Governance- und Richtlinienverwaltung nicht betroffen. Es wurden ziemlich gut entwickelte Open-Source-Frameworks verwendet. Das wurde mehr als Sicherheitscheck wahrgenommen. Wenn andere Abhängigkeiten hinzugefügt wurden, war es kein Problem, zurückzugehen und die Lizenz zu prüfen.

„Bevor wir die Demo von Nexus Lifecycle gesehen hatten, achteten wir nicht so sehr auf Schwachstellen“, so Groza. „Das kann natürlich ein Indiz dafür sein, dass uns als Team einfach die erforderliche Reife fehlte“, räumt er ein. „Nachdem wir dann eine Demo gesehen hatten, änderte sich unsere Perspektive und wir legten den Fokus nicht mehr nur auf die Lizenzprüfung. Das lag nur daran, dass wir das nicht mehr manuell machen mussten. Aber es ist wirklich so: Die Lösung wird nun primär genutzt, um Sicherheitslücken zu finden und Richtlinien für die Sicherheitslücken zu formulieren.“

Das Ergebnis: Schwachstellen-Scans gewährleisten den Einsatz qualitativ hochwertiger Open-Source-Komponenten

Groza beschreibt einen großen Vorteil der Verwendung der Nexus-Plattform. „Nexus Lifecycle ist für mich gerade deshalb so nützlich, weil ich weiß, dass ich die manuelle, mühsame Prozedur der Lizenzprüfungen nicht durchführen muss. Außerdem konnten wir nach der Einrichtung der Schwachstellenprüfungen darauf vertrauen, dass die Lösung einfach im Hintergrund läuft. Es wurde alles irgendwie einfacher und weniger aufwendig.“

Genome One - Four Quandrants.png

Als es darum ging, die Zustimmung vom Rest des Unternehmens zu bekommen, hatte Genome.One Glück. Alle haben erkannt, wie wertvoll die Zeitersparnis ist, wenn regelmäßige manuelle Prozesse durch eine Lösung ersetzt werden, die diese Aufgaben viel besser erledigen kann.

„Wir müssen immer im Hinterkopf behalten, dass wir es mit Patientendaten und Gesundheitsdaten zu tun haben. Sicherheit hat deshalb oberste Priorität. Dass wir mit Nexus Lifecycle Schwachstellen und Sicherheitslücken und ihre Abhängigkeiten aufspüren können, nimmt uns viel Arbeit ab.“

Die Schlussfolgerung: Erstklassiger Support erleichtert eine schnelle Integration, um automatisierte Validierung und Software-Risikobewertung zu ermöglichen

Auf die Frage zur Zusammenarbeit mit dem Nexus-Team ist Grozas Antwort unmissverständlich.

„Die Interaktion mit dem Team war großartig. Als wir am Anfang bei der Einrichtung ein paar Schwierigkeiten hatten, arbeitete Sonatype schnell und unkompliziert mit unserem Team zusammen. Wir würden dieses Gespräch gar nicht führen, wenn es nicht gut gelaufen wäre!“

Der nächste Schritt für das Team ist es, die Zulassung für Software als Medizinprodukt zu erhalten, was die Validierung der Ergebnisse der Software zu einer noch größeren Herausforderung macht. An dieser Stelle wird die Nexus-Plattform dauerhaft automatisierte Validierungs- und Software-Risikoprüfungen bereitstellen und so die wachsende Mission von Genome.One unterstützen: die Transformation des Gesundheitswesens durch Genomik. 

Genome One - Banner - v03

VERTRIEB KONTAKTIEREN

Möchten Sie sich selbst von Nexus-Produkten überzeugen?

Sonatype, die Entwicklungslösung der Superlative