Einführung 

Sonatype hat es sich zur Aufgabe gemacht, Ihre Softwareentwicklungsteams mit präzisen Open-Source-Erkenntnissen zu versorgen und Ihnen zu helfen, fehlerhafte Open-Source-Bibliotheken zu vermeiden, die Cyber- und andere Risiken erhöhen könnten. Wir verpflichten uns, unsere Sicherheitsverfahren transparent zu gestalten und Ihnen zu helfen, unseren Ansatz zu verstehen. 

Organisatorische Sicherheit 

Das Informationssicherheitsprogramm von Sonatype basiert auf ISO 27000 sowie NIST-Standards und wird ständig mit aktualisierten Richtlinien sowie neuen Best Practices der Branche weiterentwickelt.

Ein formelles Leitungsgremium, das sich aus Führungskräften zusammensetzt, trifft sich regelmäßig, um Entscheidungen über die Programmausrichtung, Richtlinien, Risiken und Finanzierung zu treffen. Das Sicherheitsteam von Sonatype unter der Leitung des Director of Information Security ist verantwortlich für die Implementierung und Verwaltung unseres Sicherheitsprogramms, das die folgenden Punkte umfasst: Organisationssicherheit, Sicherheit im Bereich DevOps, Überwachung, Reaktion auf Zwischenfälle, Risiko und Compliance.

Schutz unserer Kunden 

Der Schwerpunkt des Sicherheitsprogramms von Sonatype liegt darauf, unsere Kunden, Mitarbeiter und unser Unternehmen vor Schaden zu bewahren. Zu diesem Zweck ergreift unser leidenschaftliches Team von Sicherheitsexperten in Zusammenarbeit mit verschiedenen anderen Teams im gesamten Unternehmen sorgfältig entwickelte Maßnahmen, um Risiken zu identifizieren und zu mindern, Best Practices zu implementieren und ständig Verbesserungsmöglichkeiten zu entwickeln. 

Die Übertragung sämtlicher Daten zwischen den Kunden und dem Service von Sonatype erfolgt mit starken Verschlüsselungsprotokollen. Sonatype unterstützt die neuesten empfohlenen sicheren Cipher Suites zur Verschlüsselung von Daten, einschließlich TLS-1.2-Protokollen und AES256-Verschlüsselung.

Security By Design – Auf einen Blick 

Das Informationssicherheitsprogramm von Sonatype basiert auf den Prinzipien „Defense in Depth“ und „Least Privilege“: Wir sichern unsere Organisation und unsere Produkte auf jeder Ebene. Die ISO 27001-Zertifizierung erfolgte im Mai 2021. 

Unsere Richtlinien zur Informationssicherheit umfassen eine globale Sicherheitsrichtlinie, BC/DR-Prozesse (Business Continuity / Disaster Recovery), Reaktion auf Vorfälle, Datenklassifizierung, Asset Management, HR und Compliance. Die Richtlinien werden jährlich und bei wesentlichen Änderungen überprüft. Die Mitarbeiter sind verpflichtet, Schulungen zum Sicherheitsbewusstsein zu absolvieren. 

Das Produktsicherheitsteam von Sonatype hat einen sicheren Development-Lifecycle aufgebaut, der in erster Linie unsere eigenen Produkte und OWASP-Praktiken nutzt. Obwohl wir uns bemühen, alle Schwachstellen in der Entwurfs- und Testphase zu finden, ist uns bewusst, dass manchmal Fehler passieren. Aus diesem Grund haben wir ein öffentliches Bug-Offenlegungsprogramm, um die verantwortungsvolle Offenlegung potenzieller Sicherheitsschwachstellen zu erleichtern. Alle identifizierten Schwachstellen werden auf ihre Korrektheit überprüft, bearbeitet und bis zur Behebung nachverfolgt. 

Unsere BC/DR-Kontrollen werden mindestens jährlich getestet. Die Multi-Faktor-Authentifizierung (MFA) ist für die allgemeine Belegschaft für den Zugriff auf E-Mails, Dateien und andere Dienste implementiert. Für den Zugriff auf die Produktionsumgebung in AWS ist MFA + VPN erforderlich. Zu den AWS-Sicherheitskontrollen gehören IAM, Guard Duty, VPCs mit Sicherheitsgruppen und Cloud Trail. Unsere Planung für die Reaktion auf Vorfälle umfasst definierte Rollen und Verantwortlichkeiten, Eskalation, Kommunikation und regelmäßige Tests. 

Fazit 

Der Schutz unserer Kunden sowie die Erleichterung der Entwicklung sicherer Software ist eine wichtige Verantwortung und wir arbeiten weiterhin hart daran, dieses Vertrauen zu erhalten. Bitte kontaktieren Sie Ihren Kundenbetreuer, falls Sie Fragen oder Bedenken haben.