Identifiziert 70 % mehr Sicherheitslücken als andere Datenbanken.
10 x schneller als die National Vulnerability Database.
65 Experten von Weltrang mit insgesamt über 500-jähriger Erfahrung.
Andere Tools neigen zur Ausgabe falscher Ergebnisse, da sie sich beim Scannen von Apps im „Soll-Zustand“ auf die Angaben der Entwickler zu eingebetteten Abhängigkeiten verlassen.
Nexus scannt Apps im Ist-Zustand mithilfe von Advanced Binary Fingerprinting (ABF). Dadurch erhalten Sie eine präzise Darstellung aller eingebetteten Abhängigkeiten und einen Software Bill of Materials (SBOM), aus dem Haftpflichtrisiken eindeutig hervorgehen. Die ABF-Identifizierung nutzt kryptografischen Hash zur Prüfung von Binärdateien, strukturelle Ähnlichkeiten, abgeleitete Koordinaten und Dateinamen. Mit dieser Methode können sogar umbenannte oder bearbeitete Komponenten identifiziert werden, und zwar selbst dann, wenn sie nicht ausgewiesen, falsch benannt oder dem Code manuell hinzugefügt wurden.
Der neue Octopus Scanner ist ein großartiges Beispiel dafür, warum Scannen des Manifests nicht „gut genug“ ist, um schädliche Komponenten zu erkennen, die in Ihre Software Supply Chains injiziert werden.
NVD und andere öffentliche Datenbanken liefern nur einen eingeschränkten Überblick über Open-Source-Sicherheitslücken und sind oft nicht auf dem aktuellen Stand.
Nexus Intelligence hingegen liefert in Echtzeit umfassende Informationen zu Open-Source-Risiken. Unser Programm hat bislang über 96 Millionen Komponenten analysiert und lernt kontinuierlich dazu. Es überwacht mit künstlicher Intelligenz und maschinellem Lernen dynamisch sämtliche GitHub-Commits für alle Open-Source-Projekte, Websites mit Tipps oder Informationen zu Sicherheitslücken, Google Alerts, den OSS-Index und zahlreiche weitere Quellen. Gleichzeitig arbeitet unser internes Forschungsteam laufend an der Aufdeckung neuer Sicherheitslücken, die dann in unsere eigens entwickelte Datenbank aufgenommen werden.
Mit Informationen aus über 4 Millionen Instanzen des Nexus Repository Manager und 146 Milliarden Komponenten-Anforderungen pro Jahr an das Central Repository hat Nexus Intelligence einfach einen besseren Einblick als andere Datenquellen.
Bei Identifizierung neuer Sicherheitslücken analysiert unser Team sofort den Exploit-Pfad, identifiziert die Ursache und erstellt Handlungsempfehlungen für Unternehmen und Entwickler zur Bewertung und Behebung von Risiken. Damit werden Angriffe abgewehrt, bevor sie erfolgen können. Handlungsempfehlungen für Software-Entwickler werden sorgfältig erarbeitet und formuliert, sodass sie sich problemlos umsetzen lassen. Nexus Intelligence gibt keine kryptischen Sicherheitswarnungen aus, sondern detaillierte Anweisungen zur Erkennung und Behebung der jeweiligen Schwachstelle – einschließlich Upgrade-Pfad und Ursache, relativen Risiken für andere Versionen der betreffenden Komponente und Workarounds, mit denen sich eine Restrukturierung vermeiden lässt.
Nexus Intelligence arbeitet als einziger Forschungsdienst im Bereich der IT-Sicherheit mit der Methode der sogenannten Sekundärexpansion. Dabei handelt es sich um eine erweiterte Überprüfung, um festzustellen, ob neu entdeckte Sicherheitslücken auch in anderen Komponenten vorhanden sind und ggf. ausgenutzt werden können. Dieser zusätzliche Aufwand ist erforderlich, weil bei Open-Source-Projekten häufig mit Code gearbeitet wird, der ursprünglich aus anderen Projekten stammt. Wenn die gleiche Sicherheitslücke in mehreren Bibliotheken vorliegt, erhalten Sie automatisch eine Warnung von uns. Im Laufe der vergangenen 5 Jahre haben wir Schwachstellen bei 3 Millionen mehr Komponenten aufgedeckt als die öffentlichen Datenbanken. Erfahren Sie mehr über den Angriff auf event-stream von npm und wie wir dank Sekundärexpansion weitere Schwachstellen aufdecken konnten.
Kriminelle sehen jede neu aufgedeckte Sicherheitslücke als Chance zur Bereicherung. Dadurch entsteht ein ständiger Wettlauf gegen die Zeit: Gelingt es, die Lücke zu schließen, bevor sie für unlautere Machenschaften ausgenutzt wird? Wenn nicht, kann das herbe Verluste für Unternehmen bedeuten.
Zur Bewältigung der ständig präsenten Sicherheitsrisiken für Open-Source-Anwendungen ist schnelle Reaktionsfähigkeit ein unbedingtes Muss. Deswegen überwacht Nexus Intelligence aktuelle Entwicklungen rund um die Uhr und veröffentlicht detaillierte Informationen zu neuen Sicherheitslücken 10 x schneller als die NVD.
Im Laufe der vergangenen zwei Jahre wurden mehr als 20 Fälle festgestellt, bei denen absichtlich schädliche Komponenten auf öffentlichen Open-Source- und Container-Repositorys veröffentlicht wurden. Von schädlichem Code betroffene Open-Source-Projekte waren bislang schwer zu erkennen, weil sie sich oberflächlich betrachtet nicht von anderen Open-Source-Code-Beiträgen unterscheiden.
Zur Abwehr solcher neuen Angriffe hat Sonatype eine zum Patent angemeldete Technologie entwickelt, mit der Millionen von Open-Source-Projekten in Echtzeit überwacht werden können. So können im Laufe der Einführung neuer Komponentenversionen abnormales Entwicklungsverhalten und verdächtige Muster erkannt werden. Entwickler und Sicherheitsteams können nun in Nexus Intelligence sehen, wenn festgestellt wurde, dass eine Komponentenversion schädlichen Code enthält.
Von unseren bescheidenen Anfängen als Hauptmitwirkende an Apache Maven bis hin zur Unterstützung und Pflege des Central Repository, OSSIndex und Central Security Project sind wir seit langem ganz vorne mit dabei, wenn es darum geht, Software-Entwicklern in aller Welt die Ausschöpfung des Potenzials quelloffener Innovation zu ermöglichen.Im Rahmen unseres leidenschaftlichen Engagements für die Open-Source-Community unterstützen wir die Eigentümer und Nutzer von Open-Source-Projekten in dem Bemühen, Risiken zu minimieren und Wertschöpfung zu maximieren.
Bereit, Sonatype auszuprobieren?
