Einführung 

Sonatype hat es sich zur Aufgabe gemacht, Ihre Softwareentwicklungsteams mit präzisen Open-Source-Erkenntnissen zu versorgen und Ihnen zu helfen, fehlerhafte Open-Source-Bibliotheken zu vermeiden, die Cyber- und andere Risiken erhöhen könnten. Wir verpflichten uns, unsere Sicherheitsverfahren transparent zu gestalten und Ihnen zu helfen, unseren Ansatz zu verstehen. 

Organisatorische Sicherheit 

Das Informationssicherheitsprogramm von Sonatype basiert auf ISO 27000 sowie NIST-Standards und wird ständig mit aktualisierten Richtlinien sowie neuen Best Practices der Branche weiterentwickelt. 

Ein formelles Leitungsgremium, das sich aus Führungskräften zusammensetzt, trifft sich regelmäßig, um Entscheidungen über die Programmausrichtung, Richtlinien, Risiken und Finanzierung zu treffen. Das Sicherheitsteam von Sonatype, das vom Director of Information Security geleitet wird, ist für die Implementierung und Verwaltung unseres Sicherheitsprogramms verantwortlich. Der Director of Information Security wird von den Mitgliedern des Security Advisory Teams von Sonatype unterstützt, die sich auf organisatorische Sicherheit, Sicherheitsforschung, Secure DevOps, Monitoring, Incident Response sowie Risiko und Compliance konzentrieren. 

Schutz unserer Kunden 

Der Schwerpunkt des Sicherheitsprogramms von Sonatype liegt darauf, unsere Kunden, Mitarbeiter und unser Unternehmen vor Schaden zu bewahren. Zu diesem Zweck ergreift unser leidenschaftliches Team von Sicherheitsexperten in Zusammenarbeit mit verschiedenen anderen Teams im gesamten Unternehmen sorgfältig entwickelte Maßnahmen, um Risiken zu identifizieren und zu mindern, Best Practices zu implementieren und ständig Verbesserungsmöglichkeiten zu entwickeln. 

Ihr Anwendungscode wird niemals an Sonatype übertragen. Stattdessen wird ein Hash-Algorithmus verwendet, um bestimmte Marker des analysierten Codes eindeutig zu identifizieren. Diese Marker werden an Sonatype gesendet und als Schlüssel zum Abrufen von Komponentenmetadaten verwendet, die mit bekannten Open-Source-Komponenten verknüpft sind.

Security By Design – Auf einen Blick 

Das Informationssicherheitsprogramm von Sonatype basiert auf den Prinzipien „Defense in Depth“ und „Least Privilege“: Wir sichern unsere Organisation und unsere Produkte auf jeder Ebene. Die ISO 27001-Zertifizierung ist für Anfang 2021 geplant. 

Unsere Richtlinien zur Informationssicherheit umfassen eine globale Sicherheitsrichtlinie, BC/DR-Prozesse (Business Continuity / Disaster Recovery), Reaktion auf Vorfälle, Datenklassifizierung, Asset Management, HR und Compliance. Die Richtlinien werden jährlich und bei wesentlichen Änderungen überprüft. Die Mitarbeiter sind verpflichtet, Schulungen zum Sicherheitsbewusstsein zu absolvieren. 

Das Produktsicherheitsteam von Sonatype hat einen sicheren Development-Lifecycle aufgebaut, der in erster Linie unsere eigenen Produkte und OWASP-Praktiken nutzt. Obwohl wir uns bemühen, alle Schwachstellen in der Entwurfs- und Testphase zu finden, ist uns bewusst, dass manchmal Fehler passieren. Aus diesem Grund haben wir ein öffentliches Bug-Offenlegungsprogramm, um die verantwortungsvolle Offenlegung potenzieller Sicherheitsschwachstellen zu erleichtern. Alle identifizierten Schwachstellen werden auf ihre Korrektheit überprüft, bearbeitet und bis zur Behebung nachverfolgt. 

Unsere BC/DR-Kontrollen werden mindestens einmal jährlich getestet. Die Multi-Faktor-Authentifizierung (MFA) ist für die allgemeine Belegschaft für den Zugriff auf E-Mails, Dateien und andere Dienste implementiert. Die MFA ist zudem für den Zugriff auf die Produktionsumgebung innerhalb von AWS erforderlich. Zu den AWS-Sicherheitskontrollen gehören IAM, Guard Duty, VPCs mit Sicherheitsgruppen und Cloud Trail. Unser Plan zur Reaktion auf Vorfälle umfasst grundlegende Rollen und Verantwortlichkeiten, Eskalation und Kommunikation. 

Die Übertragung sämtlicher Daten zwischen den Kunden und dem Service von Sonatype erfolgt mit starken Verschlüsselungsprotokollen. Sonatype unterstützt die neuesten empfohlenen sicheren Cipher Suites zur Verschlüsselung des gesamten Datenverkehrs während der Übertragung, einschließlich der Verwendung von TLS 1.2-Protokollen und AES256-Verschlüsselung. 

Fazit 

Der Schutz unserer Kunden sowie die Erleichterung der Entwicklung sicherer Software ist eine wichtige Verantwortung und wir arbeiten weiterhin hart daran, dieses Vertrauen zu erhalten. Bitte kontaktieren Sie Ihren Kundenbetreuer, falls Sie Fragen oder Bedenken haben.