Identifiziert 70 % mehr Sicherheitslücken als andere Datenbanken.
10 x schneller als die National Vulnerability Database.
65 Experten von Weltrang mit insgesamt über 500-jähriger Erfahrung.
Apps im Ist-Zustand scannen
Zur Verifizierung ALLER Drittanbieter-Abhängigkeiten und Identifizierung des tatsächlichen Risikos.
Genaue Identifizierung von Komponentenversionen
Untersucht Advanced Binary Fingerprints (ABF) statt Dateinamen oder Lieferangaben des Anbieters für Beispielkomponenten.
Präzise Meldung von Risiken
Minimieren Sie Falschmeldungen und Fehlalarme durch eine genaue Zuordnung tatsächlicher Abhängigkeiten zu einer fundierten Wissensdatenbank.
In einer anderen Liga als öffentliche Daten.
Alles, was Sie über Open-Source-Schwachstellen wissen müssen.
Blitzschnell und stets griffbereit.
Lassen Sie sich über neue Schwachstellen informieren und zwar durchschnittlich 3 Monate vor der Veröffentlichung.
Maßgeschneiderte Schwachstellenbehebung für Entwickler. Bieten Sie Entwicklern umsetzbare Handlungsempfehlungen zur raschen Abwehr von Risiken.
„Damit haben wir einen besseren Einblick in Sicherheitsprobleme und können proaktiv reagieren. Der Scan liefert sehr zuverlässige Ergebnisse.“
Andere Tools neigen zur Ausgabe falscher Ergebnisse, da sie sich beim Scannen von Apps im „Soll-Zustand“ auf die Angaben der Entwickler zu eingebetteten Abhängigkeiten verlassen.
Nexus scannt Apps im Ist-Zustand mithilfe von Advanced Binary Fingerprinting (ABF). Dadurch erhalten Sie eine präzise Darstellung aller eingebetteten Abhängigkeiten und einen Software Bill of Materials (SBOM), aus dem Haftpflichtrisiken eindeutig hervorgehen. Die ABF-Identifizierung nutzt kryptografischen Hash zur Prüfung von Binärdateien, strukturelle Ähnlichkeiten, abgeleitete Koordinaten und Dateinamen. Mit dieser Methode können sogar umbenannte oder bearbeitete Komponenten identifiziert werden, und zwar selbst dann, wenn sie nicht ausgewiesen, falsch benannt oder dem Code manuell hinzugefügt wurden.
Der neue Octopus Scanner ist ein großartiges Beispiel dafür, warum Scannen des Manifests nicht „gut genug“ ist, um schädliche Komponenten zu erkennen, die in Ihre Software Supply Chains injiziert werden.
NVD und andere öffentliche Datenbanken liefern nur einen eingeschränkten Überblick über Open-Source-Sicherheitslücken und sind oft nicht auf dem aktuellen Stand.
Nexus Intelligence hingegen liefert in Echtzeit umfassende Informationen zu Open-Source-Risiken. Unser Programm hat bislang über 96 Millionen Komponenten analysiert und lernt kontinuierlich dazu. Es überwacht mit künstlicher Intelligenz und maschinellem Lernen dynamisch sämtliche GitHub-Commits für alle Open-Source-Projekte, Websites mit Tipps oder Informationen zu Sicherheitslücken, Google Alerts, den OSS-Index und zahlreiche weitere Quellen. Gleichzeitig arbeitet unser internes Forschungsteam laufend an der Aufdeckung neuer Sicherheitslücken, die dann in unsere eigens entwickelte Datenbank aufgenommen werden.
Mit Informationen aus über 4 Millionen Instanzen des Nexus Repository Manager und 146 Milliarden Komponenten-Anforderungen pro Jahr an das Central Repository hat Nexus Intelligence einfach einen besseren Einblick als andere Datenquellen.
Bei Identifizierung neuer Sicherheitslücken analysiert unser Team sofort den Exploit-Pfad, identifiziert die Ursache und erstellt Handlungsempfehlungen für Unternehmen und Entwickler zur Bewertung und Behebung von Risiken. Damit werden Angriffe abgewehrt, bevor sie erfolgen können. Handlungsempfehlungen für Software-Entwickler werden sorgfältig erarbeitet und formuliert, sodass sie sich problemlos umsetzen lassen. Nexus Intelligence gibt keine kryptischen Sicherheitswarnungen aus, sondern detaillierte Anweisungen zur Erkennung und Behebung der jeweiligen Schwachstelle – einschließlich Upgrade-Pfad und Ursache, relativen Risiken für andere Versionen der betreffenden Komponente und Workarounds, mit denen sich eine Restrukturierung vermeiden lässt.
Andere Tools neigen zur Ausgabe falscher Ergebnisse, da sie sich beim Scannen von Apps im „Soll-Zustand“ auf die Angaben der Entwickler zu eingebetteten Abhängigkeiten verlassen.
Nexus scannt Apps im Ist-Zustand mithilfe von Advanced Binary Fingerprinting (ABF). Dadurch erhalten Sie eine präzise Darstellung aller eingebetteten Abhängigkeiten und einen Software Bill of Materials (SBOM), aus dem Haftpflichtrisiken eindeutig hervorgehen. Die ABF-Identifizierung nutzt kryptografischen Hash zur Prüfung von Binärdateien, strukturelle Ähnlichkeiten, abgeleitete Koordinaten und Dateinamen. Mit dieser Methode können sogar umbenannte oder bearbeitete Komponenten identifiziert werden, und zwar selbst dann, wenn sie nicht ausgewiesen, falsch benannt oder dem Code manuell hinzugefügt wurden.
NVD und andere öffentliche Datenbanken liefern nur einen eingeschränkten Überblick über Open-Source-Sicherheitslücken und sind oft nicht auf dem aktuellen Stand.
Nexus Intelligence hingegen liefert in Echtzeit umfassende Informationen zu Open-Source-Sicherheitslücken. Unser Programm hat bislang über 31 Millionen Komponenten analysiert und lernt kontinuierlich dazu. Es arbeitet mit natürlicher Sprachverarbeitung zur dynamischen Überwachung sämtlicher GutHub-Commits an alle Open-Source-Projekte, Websites mit Tipps oder Informationen zu Sicherheitslücken, Google Alerts, den OSS-Index und zahlreiche weitere Quellen. Gleichzeitig arbeitet unser internes Forschungsteam laufend an der Aufdeckung neuer Sicherheitslücken, die dann in unsere eigenentwickelte Datenbank aufgenommen werden.
Mit Informationen aus über 4 Millionen Instanzen des Nexus Repository Manager und 146 Milliarden Komponenten-Anforderungen pro Jahr an das The Central Repository hat Nexus Intelligence einfach einen besseren Überblick als andere Datenquellen.
Bei Identifizierung neuer Sicherheitslücken analysiert unser Team sofort den Exploit-Pfad, identifiziert die Ursache und erstellt Handlungsempfehlungen für Unternehmen und Entwickler zur Bewertung und Behebung von Risiken. Damit werden Angriffe abgewehrt, bevor sie erfolgen können. Handlungsempfehlungen für Software-Entwickler werden sorgfältig erarbeitet und formuliert, sodass sie sich problemlos umsetzen lassen. Nexus Intelligence gibt keine kryptischen Sicherheitswarnungen aus, sondern detaillierte Anweisungen zur Erkennung und Behebung der jeweiligen Schwachstelle – einschließlich Upgrade-Pfad und Ursache, relativen Risiken für andere Versionen der betreffenden Komponente und Workarounds, mit denen sich eine Restrukturierung vermeiden lässt.
Nexus Intelligence arbeitet als einziger Forschungsdienst im Bereich der IT-Sicherheit mit der Methode der sogenannten Sekundärexpansion. Dabei handelt es sich um eine erweiterte Überprüfung, um festzustellen, ob neu entdeckte Sicherheitslücken auch in anderen Komponenten vorhanden sind und ggf. ausgenutzt werden können. Dieser zusätzliche Aufwand ist erforderlich, weil bei Open-Source-Projekten häufig mit Code gearbeitet wird, der ursprünglich aus anderen Projekten stammt. Wenn die gleiche Sicherheitslücke in mehreren Bibliotheken vorliegt, erhalten Sie automatisch eine Warnung von uns. Im Laufe der vergangenen 5 Jahre haben wir Schwachstellen bei 3 Millionen mehr Komponenten aufgedeckt als die öffentlichen Datenbanken.
Kriminelle sehen jede neu aufgedeckte Sicherheitslücke als Chance zur Bereicherung. Dadurch entsteht ein ständiger Wettlauf gegen die Zeit: Gelingt es, die Lücke zu schließen, bevor sie für unlautere Machenschaften ausgenutzt wird? Wenn nicht, kann das herbe Verluste für Unternehmen bedeuten.
Zur Bewältigung der ständig präsenten Sicherheitsrisiken für Open-Source-Anwendungen ist schnelle Reaktionsfähigkeit ein unbedingtes Muss. Deswegen überwacht Nexus Intelligence aktuelle Entwicklungen rund um die Uhr und veröffentlicht detaillierte Informationen zu neuen Sicherheitslücken 10 x schneller als die NVD.
Von unseren bescheidenen Anfängen als Hauptmitwirkende an Apache Maven bis hin zur Unterstützung und Pflege des Central Repository, OSSIndex und Central Security Project sind wir seit langem ganz vorne mit dabei, wenn es darum geht, Software-Entwicklern in aller Welt die Ausschöpfung des Potenzials quelloffener Innovation zu ermöglichen.Im Rahmen unseres leidenschaftlichen Engagements für die Open-Source-Community unterstützen wir die Eigentümer und Nutzer von Open-Source-Projekten in dem Bemühen, Risiken zu minimieren und Wertschöpfung zu maximieren.
Nexus Intelligence arbeitet als einziger Forschungsdienst im Bereich der IT-Sicherheit mit der Methode der sogenannten Sekundärexpansion. Dabei handelt es sich um eine erweiterte Überprüfung, um festzustellen, ob neu entdeckte Sicherheitslücken auch in anderen Komponenten vorhanden sind und ggf. ausgenutzt werden können. Dieser zusätzliche Aufwand ist erforderlich, weil bei Open-Source-Projekten häufig mit Code gearbeitet wird, der ursprünglich aus anderen Projekten stammt. Wenn die gleiche Sicherheitslücke in mehreren Bibliotheken vorliegt, erhalten Sie automatisch eine Warnung von uns. Im Laufe der vergangenen 5 Jahre haben wir Schwachstellen bei 3 Millionen mehr Komponenten aufgedeckt als die öffentlichen Datenbanken. Erfahren Sie mehr über den Angriff auf event-stream von npm und wie wir dank Sekundärexpansion weitere Schwachstellen aufdecken konnten.
Kriminelle sehen jede neu aufgedeckte Sicherheitslücke als Chance zur Bereicherung. Dadurch entsteht ein ständiger Wettlauf gegen die Zeit: Gelingt es, die Lücke zu schließen, bevor sie für unlautere Machenschaften ausgenutzt wird? Wenn nicht, kann das herbe Verluste für Unternehmen bedeuten.
Zur Bewältigung der ständig präsenten Sicherheitsrisiken für Open-Source-Anwendungen ist schnelle Reaktionsfähigkeit ein unbedingtes Muss. Deswegen überwacht Nexus Intelligence aktuelle Entwicklungen rund um die Uhr und veröffentlicht detaillierte Informationen zu neuen Sicherheitslücken 10 x schneller als die NVD.
Im Laufe der vergangenen zwei Jahre wurden mehr als 20 Fälle festgestellt, bei denen absichtlich schädliche Komponenten auf öffentlichen Open-Source- und Container-Repositorys veröffentlicht wurden. Von schädlichem Code betroffene Open-Source-Projekte waren bislang schwer zu erkennen, weil sie sich oberflächlich betrachtet nicht von anderen Open-Source-Code-Beiträgen unterscheiden.
Zur Abwehr solcher neuen Angriffe hat Sonatype eine zum Patent angemeldete Technologie entwickelt, mit der Millionen von Open-Source-Projekten in Echtzeit überwacht werden können. So können im Laufe der Einführung neuer Komponentenversionen abnormales Entwicklungsverhalten und verdächtige Muster erkannt werden. Entwickler und Sicherheitsteams können nun in Nexus Intelligence sehen, wenn festgestellt wurde, dass eine Komponentenversion schädlichen Code enthält.
Von unseren bescheidenen Anfängen als Hauptmitwirkende an Apache Maven bis hin zur Unterstützung und Pflege des Central Repository, OSSIndex und Central Security Project sind wir seit langem ganz vorne mit dabei, wenn es darum geht, Software-Entwicklern in aller Welt die Ausschöpfung des Potenzials quelloffener Innovation zu ermöglichen.Im Rahmen unseres leidenschaftlichen Engagements für die Open-Source-Community unterstützen wir die Eigentümer und Nutzer von Open-Source-Projekten in dem Bemühen, Risiken zu minimieren und Wertschöpfung zu maximieren.
Sonatype Headquarters - 8161 Maple Lawn Blvd #250, Fulton, MD 20759
Tysons Office - 8281 Greensboro Drive – Suite 630, McLean, VA 22102
Australia Office - 60 Martin Place Level 1, Sydney, NSW 2000, Australia
London Office -168 Shoreditch High Street, E1 6HU London
Abonnieren Sie die neuesten Nachrichten und Events zum Thema Software-Sicherheit
Copyright © 2008–heute, Sonatype Inc. Alle Rechte vorbehalten. Schließt hier aufgeführten Drittanbietercode ein. Sonatype und Sonatype Nexus sind Warenzeichen von Sonatype, Inc. Apache Maven und Maven sind Warenzeichen der Apache Software Foundation. M2Eclipse ist ein Warenzeichen der Eclipse Foundation. Alle anderen Warenzeichen sind Eigentum der jeweiligen Inhaber.
Nutzungsbedingungen Datenschutzrichtlinie Erklärung zu moderner Sklaverei Event Terms and Conditions Do Not Sell My Personal Information