Sonatype stellt Abhängigkeitsmanagement der nächsten Generation vor | Pressemitteilung

Endress+Hauser und die Nexus-Plattform

Optimierung einer Software für Messtechnik und Prozessautomatisierung mithilfe der Nexus-Plattform

Endress+Hauser (Endress und Hauser) ist ein Schweizer Unternehmen für Messtechnik und Prozessautomatisierung mit einem Netzwerk von 100 Unternehmen in 44 Ländern. 2017 erzielte der Konzern einen Nettoumsatz von 2,1 Milliarden Euro. E+H hat Produktionsstätten in Deutschland, der Schweiz, Frankreich, Italien, Südafrika, den USA, China, Indien, Japan und Brasilien.

Das unternehmensinterne Software-Entwicklungsteam nutzt die Nexus-Plattform zur Lizenzierung von Open-Source-Software und zur Governance sowie zur Verwaltung von Komponentenschwachstellen und Risikobewertungen.

Die Herausforderung: Nachverfolgung und Überwachung der Bibliotheksnutzung für eine höhere Open-Source-Sicherheit

Lars Brößler, Senior Software Developer, ist mit seinem Team für die Entwicklung neuer Software sowie die Wartung älterer Systemfunktionen verantwortlich. Sein Team entwickelt und wartet eine Vielzahl von Anwendungen für die unternehmenseigene Verwendung. 

„Wir haben uns Black Duck, Veracode und Nexus Lifecycle genau angesehen. Meine Kollegen und ich haben uns für Lifecycle entschieden, da es die beste Lösung für unser Anliegen ist: alle kritischen Elemente zu entfernen, bevor sie in die Produktion gelangen.“
– Lars Brößler, Senior Software Developer, Endress+Hauser

Lars Brößler erzählt von den Herausforderungen, mit denen er bei der Nutzung von Open-Source-Komponenten und ‑Bibliotheken in bestehenden Workflows konfrontiert war. „Es wurden zu viele Bibliotheken heruntergeladen und genutzt und es gab keinerlei Tracking oder Monitoring hinsichtlich des Gebrauchs von Komponenten und Bibliotheken. Alle Mitarbeiter konnten Downloads vornehmen und bald wusste niemand mehr, wo welche Bibliotheken genutzt wurden.

Die schwierigste Herausforderung war das manuelle Tracking-Verfahren. „Wir hatten ein Verfahren zum manuellen Tracking von Hunderten von Anwendungen eingesetzt, doch nach der Bewertung von fünfzehn Bibliotheken ließen wir es sein,“ erzählt Brößler kopfschüttelnd. „Es war uns nicht möglich, die unüberschaubare Menge an verwendeten Elementen zu skalieren oder zu verarbeiten.

Die Lösung: Reduzierung von Fehlalarmen bei der Überwachung der Anwendungsintegrität mit Nexus Lifecycle

Brößler und sein Team suchten nach einem Ausweg und grenzten die Recherche auf drei mögliche Lösungen ein.

„Wir haben uns Black Duck, Veracode und Nexus Lifecycle genau angesehen und sind zu dem Schluss gekommen, dass Nexus Lifecycle für die Verwaltung von Open-Source-Software-Lizenzierungen und Komponentenschwachstellen die beste verfügbare Lösung am Markt ist. Meine Kollegen und ich haben uns für Lifecycle entschieden, da es die beste Lösung für unser Anliegen ist: alle kritischen Elemente zu entfernen, bevor sie in die Produktion gelangen.“

Im Vergleich zu Veracode und Black Duck lieferte Nexus Lifecycle nur ein Minimum an Falschmeldungen. Um die Ergebnisse dem Vorstand vorzulegen, erstellte das Team ein Proof of Concept. „Die Zustimmung zum Kauf war ein logischer Entschluss.“

Das Ergebnis: Automatische Nachverfolgung und Überwachung bereitgestellter Komponenten während der Entwicklung und der Produktion

Die Herausforderungen, mit denen Brößler bei der Verwendung und Verwaltung von Open Source konfrontiert war, sind durch die Nutzung der Nexus-Plattform praktisch verschwunden. Dank Nexus Lifecycle ist es dem Team möglich, implementierte Komponenten zu tracken und zu überwachen – und das nicht nur während der Entwicklung, sondern auch während der Produktion.

„Wir sind jetzt in der Lage, für mehrere Builds ein und dieselbe Bibliothek zu nutzen,“ erklärt Brößler. „Nun haben wir Einsicht in die Bibliotheken des gesamten Unternehmens und können sogar sehen, welche Versionen in welchen Apps auftauchen.“

Nachverfolgung und Überwachung der Open-Source-NutzungSchlussfolgerung: Durch die Integration von Sonatype Nexus in die Sicherheitspipeline können kritische Elemente beseitigt werden, bevor sie in die Produktion gelangen

Auf die Frage, warum Endress+Hauser sich für die Nexus-Plattform entschied, antwortet Brößler ohne zu zögern: „Wir haben uns Black Duck, Veracode und Nexus Lifecycle genau angesehen. Meine Kollegen und ich haben uns letztendlich für Nexus Lifecycle entschieden, da es für unser Anliegen, alle kritischen Elemente bei neu entwickelten Apps zu entfernen, bevor sie in die Produktion gelangen, am praktischsten und benutzerfreundlichsten ist.“

„Die Nexus-Plattform wird in unsere Sicherheits-Pipeline integriert und sobald unsere aktualisierten Sicherheitsrichtlinien in Kraft treten, wird die Nutzung verpflichtend sein. Ziel ist es, dass keine App ohne vorherige automatisierte Beurteilung durch Nexus Lifecycle in Produktion geht.“

Abschließend meint Brößler, er sei sehr zufrieden mit der Nexus-Plattform: „Ich persönlich habe mich für Nexus entschieden. Die Plattform erleichtert nicht nur meine Arbeit, sondern vereinfacht auch unseren Sicherheitsprozess. Ich kann Nexus Lifecycle nur empfehlen.“

VERTRIEB KONTAKTIEREN

Möchten Sie sich selbst von Nexus-Produkten überzeugen?

Sonatype, die Entwicklungslösung der Superlative