Sonatype stellt Abhängigkeitsmanagement der nächsten Generation vor | Pressemitteilung

Nexus Intelligence

Die ganze Wahrheit über Open-Source-Risiken.

Jetzt testen   DATENBLATT

Die Nexus-Plattform läuft auf Forschungserkenntnissen

Größere Reichweite

Größere Reichweite.

Identifiziert 70 % mehr Sicherheitslücken als andere Datenbanken.

Schnellere Ergebnisse

Schneller zum Ziel.

10 x schneller als die National Vulnerability Database.

Mehr Fachwissen

Mehr Fachwissen.

65 Experten von Weltrang mit insgesamt über 500-jähriger Erfahrung.

Der Unterschied ist eindeutig.

Zuverlässige Identifizierung

Scannen von Apps im Ist- statt im Soll-Zustand. Zur Verifizierung ALLER eingebetteten Abhängigkeiten und Identifizierung der tatsächlichen Risiken.
Untersucht Hashwerte statt Dateinamen oder Lieferangaben des Anbieters. Advanced Binary Fingerprints (ABF) zur präzisen Risikoerkennung.
Zuverlässige Meldung realer Risiken. Weniger Fehlalarme = mehr Zeit zur Fehlerbehebung.

Zuverlässige Erkenntnisse

Weitaus umfassender und besser als öffentliche Daten. Alles, was Sie über Open-Source-Schwachstellen wissen müssen.
Blitzschnell und ständig hellwach. Bleiben Sie jederzeit über neue Open-Source-Schwachstellen informiert.
Für Entwickler konzipiert. Genau, was Entwickler sich wünschen – umsetzbare Handlungsempfehlungen zur Abwehr von Open-Source-Risiken.
98366714

Analyse von Open-Source-Komponenten

EdwinK

„Damit haben wir einen besseren Einblick in Sicherheitsprobleme und können proaktiv reagieren. Der Scan liefert sehr zuverlässige Ergebnisse.“ 

– EDWIN K. AUF IT CENTRAL STATION

Gehen Sie der Wahrheit auf den Grund

Schichten

Schluss mit Falschmeldungen – analysieren Sie Abhängigkeiten im Ist-Zustand.

Andere Tools neigen zur Ausgabe falscher Ergebnisse, da sie sich beim Scannen von Apps im „Soll-Zustand“ auf die Angaben der Entwickler zu eingebetteten Abhängigkeiten verlassen.

Nexus scannt Apps im Ist-Zustand mithilfe von Advanced Binary Fingerprinting (ABF). Dadurch erhalten Sie eine präzise Darstellung aller eingebetteten Abhängigkeiten und einen Software Bill of Materials (SBOM), aus dem Haftpflichtrisiken eindeutig hervorgehen. Die ABF-Identifizierung nutzt kryptografischen Hash zur Prüfung von Binärdateien, strukturelle Ähnlichkeiten, abgeleitete Koordinaten und Dateinamen. Mit dieser Methode können sogar umbenannte oder bearbeitete Komponenten identifiziert werden, und zwar selbst dann, wenn sie nicht ausgewiesen, falsch benannt oder dem Code manuell hinzugefügt wurden.

Der neue Octopus Scanner ist ein großartiges Beispiel dafür, warum Scannen des Manifests nicht „gut genug“ ist, um schädliche Komponenten zu erkennen, die in Ihre Software Supply Chains injiziert werden.

Nexus Intelligence

Nexus Intelligence Kontinuierliche Insight-Funktionalität

In einer anderen Liga als öffentliche Datenquellen.

NVD und andere öffentliche Datenbanken liefern nur einen eingeschränkten Überblick über Open-Source-Sicherheitslücken und sind oft nicht auf dem aktuellen Stand.

Nexus Intelligence hingegen liefert in Echtzeit umfassende Informationen zu Open-Source-Risiken. Unser Programm hat bislang über 96 Millionen Komponenten analysiert und lernt kontinuierlich dazu. Es überwacht mit künstlicher Intelligenz und maschinellem Lernen dynamisch sämtliche GitHub-Commits für alle Open-Source-Projekte, Websites mit Tipps oder Informationen zu Sicherheitslücken, Google Alerts, den OSS-Index und zahlreiche weitere Quellen. Gleichzeitig arbeitet unser internes Forschungsteam laufend an der Aufdeckung neuer Sicherheitslücken, die dann in unsere eigens entwickelte Datenbank aufgenommen werden.

Mit Informationen aus über 4 Millionen Instanzen des Nexus Repository Manager und 146 Milliarden Komponenten-Anforderungen pro Jahr an das Central Repository hat Nexus Intelligence einfach einen besseren Einblick als andere Datenquellen.


Nexus Intelligence Scan

Handlungsempfehlungen für Entwickler zur schnelleren Abwehr von Risiken.

Bei Identifizierung neuer Sicherheitslücken analysiert unser Team sofort den Exploit-Pfad, identifiziert die Ursache und erstellt Handlungsempfehlungen für Unternehmen und Entwickler zur Bewertung und Behebung von Risiken. Damit werden Angriffe abgewehrt, bevor sie erfolgen können. Handlungsempfehlungen für Software-Entwickler werden sorgfältig erarbeitet und formuliert, sodass sie sich problemlos umsetzen lassen. Nexus Intelligence gibt keine kryptischen Sicherheitswarnungen aus, sondern detaillierte Anweisungen zur Erkennung und Behebung der jeweiligen Schwachstelle – einschließlich Upgrade-Pfad und Ursache, relativen Risiken für andere Versionen der betreffenden Komponente und Workarounds, mit denen sich eine Restrukturierung vermeiden lässt.

Nexus Intelligence-Insights

Sicherheitslücken entdecken

Besser informiert durch Sekundärexpansion

Nexus Intelligence arbeitet als einziger Forschungsdienst im Bereich der IT-Sicherheit mit der Methode der sogenannten Sekundärexpansion. Dabei handelt es sich um eine erweiterte Überprüfung, um festzustellen, ob neu entdeckte Sicherheitslücken auch in anderen Komponenten vorhanden sind und ggf. ausgenutzt werden können. Dieser zusätzliche Aufwand ist erforderlich, weil bei Open-Source-Projekten häufig mit Code gearbeitet wird, der ursprünglich aus anderen Projekten stammt. Wenn die gleiche Sicherheitslücke in mehreren Bibliotheken vorliegt, erhalten Sie automatisch eine Warnung von uns. Im Laufe der vergangenen 5 Jahre haben wir Schwachstellen bei 3 Millionen mehr Komponenten aufgedeckt als die öffentlichen Datenbanken. Erfahren Sie mehr über den Angriff auf event-stream von npm und wie wir dank Sekundärexpansion weitere Schwachstellen aufdecken konnten.

 

Nexus Intelligence arbeitet schneller

Risiken schneller identifizieren

Kriminelle sehen jede neu aufgedeckte Sicherheitslücke als Chance zur Bereicherung. Dadurch entsteht ein ständiger Wettlauf gegen die Zeit: Gelingt es, die Lücke zu schließen, bevor sie für unlautere Machenschaften ausgenutzt wird? Wenn nicht, kann das herbe Verluste für Unternehmen bedeuten.

Zur Bewältigung der ständig präsenten Sicherheitsrisiken für Open-Source-Anwendungen ist schnelle Reaktionsfähigkeit ein unbedingtes Muss. Deswegen überwacht Nexus Intelligence aktuelle Entwicklungen rund um die Uhr und veröffentlicht detaillierte Informationen zu neuen Sicherheitslücken 10 x schneller als die NVD.


Sagen Sie gefälschten Komponenten den Kampf an

Sagen Sie gefälschten Komponenten den Kampf an.

Im Laufe der vergangenen zwei Jahre wurden mehr als 20 Fälle festgestellt, bei denen absichtlich schädliche Komponenten auf öffentlichen Open-Source- und Container-Repositorys veröffentlicht wurden. Von schädlichem Code betroffene Open-Source-Projekte waren bislang schwer zu erkennen, weil sie sich oberflächlich betrachtet nicht von anderen Open-Source-Code-Beiträgen unterscheiden.

Zur Abwehr solcher neuen Angriffe hat Sonatype eine zum Patent angemeldete Technologie entwickelt, mit der Millionen von Open-Source-Projekten in Echtzeit überwacht werden können. So können im Laufe der Einführung neuer Komponentenversionen abnormales Entwicklungsverhalten und verdächtige Muster erkannt werden. Entwickler und Sicherheitsteams können nun in Nexus Intelligence sehen, wenn festgestellt wurde, dass eine Komponentenversion schädlichen Code enthält.

Community von Software-Entwicklern

Vertrauen durch Glaubwürdigkeit

Von unseren bescheidenen Anfängen als Hauptmitwirkende an Apache Maven bis hin zur Unterstützung und Pflege des Central Repository, OSSIndex und Central Security Project sind wir seit langem ganz vorne mit dabei, wenn es darum geht, Software-Entwicklern in aller Welt die Ausschöpfung des Potenzials quelloffener Innovation zu ermöglichen.Im Rahmen unseres leidenschaftlichen Engagements für die Open-Source-Community unterstützen wir die Eigentümer und Nutzer von Open-Source-Projekten in dem Bemühen, Risiken zu minimieren und Wertschöpfung zu maximieren.

WEITERE INFORMATIONEN

Der Scan eines Wettbewerbers vs. Nexus Lifecycle
Noch skeptisch? Überzeugen Sie sich mit eigenen Augen davon, wie unsere Daten im Mitbewerbervergleich abschneiden.
Warum Präzision zählt
Erfahren Sie, warum präzise Daten für die Sicherung von Open-Source-Code entscheidend sind.
Ist Ihre Software sicher?
Überzeugen Sie sich selbst und prüfen Sie, welche Schwachstellen sich in Ihrer Anwendung verbergen.

Möchten Sie sich selbst von Nexus-Produkten überzeugen?