<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1127487224079104&amp;ev=PageView&amp;noscript=1 https://www.facebook.com/tr?id=1127487224079104&amp;ev=PageView&amp;noscript=1 ">

Sonatype veröffentlicht den "2018 State of the Software Supply Chain Report" 2018 Pressemitteilung

Tomitribe und Nexus Lifecycle

Die Meister der Open-Source-Sicherheit
Tomitribe - Logo Round-1.png

Tomitribe

David Blevins, Projektleiter für das Apache TomEE-Projekt und CEO bei Tomitribe, ist sich seiner Meinung ganz sicher: Open-Source-Software und kommerzielle Software können miteinander harmonieren und für beide Seiten von Vorteil sein. Er möchte der Welt zeigen, wie das funktionieren kann. Das Unternehmen setzt dafür auf Nexus Lifecycle, denn diese Lösung unterstützt Tomitribe dabei, proaktiv Schwachstellen und Sicherheitslücken in häufig implementierten Open-Source-Projekten wie Apache Tomcat und TomEE zu finden.

david_blevins.png
„Automatisiertes Monitoring ist der Hauptgrund, weshalb unsere Wahl auf Nexus Lifecycle fiel. Es verringert zeitraubende manuelle Prozesse, durch die Skalierung ausgebremst wird. Wir möchten in der Lage sein, den Code im Auge zu behalten und Nexus Lifecycle soll uns informieren, wenn es etwas gibt, das unsere Aufmerksamkeit verlangt.“

David Blevins, CEO bei Tomitribe

Die Geschichte von Tomitribe

Das Projekt Apache TomEE startete 2011. David und ein Team aus Freiwilligen arbeiteten in ihrer Freizeit an dem Projekt TomCat x 274.pngund nach 10 Monaten wurde auf der JavaOne-Konferenz 2011 bekanntgegeben, dass TomEE als Java EE Web Profile zertifiziert wird. Innerhalb eines Jahres kündigte David seinen Job bei IBM und engagierte Freiwillige aus dem Apache TomEE-Projekt, um ein Support-Unternehmen zu gründen: Tomitribe. Das ursprüngliche TomEE-Projekt ist mittlerweile auf ein Dutzend Open-Source-Projekte angewachsen.

Rechnet man die Beiträge für TomEE des Tomitribe-Teams zusammen (dessen Mitglieder übrigens remote in neun verschiedenen Ländern arbeiten), kommt man auf insgesamt 46 Jahre. „Wir tragen unsere Investition für die Community als besondere Auszeichnung“, so David. „Wir sind kein Unternehmen, das ein Open-Source-Projekt ausspioniert hat und anschließend daraus einen Vorteil ziehen wollte. Wir sind vielmehr ein Unternehmen, das aus dem Open-Source-Projekt selbst hervorgegangen ist.“

Die Nutzung von Nexus Lifecycle

Bei Tomitribe ist Sicherheit ein entscheidender Aspekt für den Erfolg der im Unternehmen verantworteten Tomcat- und TomEE-Projekte. Das Team bei Tomitribe entschied sich für Nexus Lifecycle, weil man mit dieser Lösung die Möglichkeit hat, CVE-Datenbanken und andere proprietäre Quellen zu überwachen, Schwachstellendaten aufzubereiten und für Entwickler bereitzustellen sowie das Tomitribe-Team über alle Sicherheitslücken zu benachrichtigen, sogar noch bevor Fixes verfügbar sind.

Apache TomEE - x 300.png„Wir möchten Lifecycle nutzen, um unsere Builds durchgängig zu scannen und jede einzelne von uns unterstützte Version von TomEE und Tomcat zu überwachen“, erklärt David. „Wir sind kurz davor, die HITRUST-Zertifizierung für unsere HIPAA-konformen Kunden zu erhalten. Für uns ist es wichtig, Sicherheitsupdates für Apache-Projekte zu veröffentlichen und unsere Kunden anschließend so schnell wie möglich darüber zu informieren.“

„Kontinuierliches Monitoring und automatisierte Governance sind die Hauptgründe, weshalb unsere Wahl auf Nexus Lifecycle fiel. Es verringert zeitraubende manuelle Prozesse, durch die Skalierung ausgebremst wird. Wir möchten in der Lage sein, den Code im Auge zu behalten, und Nexus Lifecycle soll uns informieren, wenn es etwas gibt, das unsere Aufmerksamkeit verlangt“, erklärt David. „Uns ist die Integrität der von uns unterstützten Projekte wichtig. Durch die Nutzung von Nexus Lifecycle kann unser Team proaktiv sicherstellen, dass Open-Source-Schwachstellen genau erkannt, verwaltet und behoben werden, noch bevor sie irgendwelche Auswirkungen auf unsere Kunden haben.“

Sonatype und Tomitribe: eine Symbiose

Sonatype hilft Tomitribe dabei, eine optimierte Lösung anzubieten, da damit die Open-Source-Sicherheit in den Apache Tomcat- und TomEE-Projekten unterstützt wird. 

„Ich glaube fest daran, dass kommerzielle Software und Open-Source-Software sich gegenseitig bereichern können“, schließt David. „Zusammen können Tomitribe und Sonatype ein Paradebeispiel dafür sein, wie solch eine Beziehung funktioniert.“

   
Erfolgsstorys unserer Kunden