В 2017 году в Сеть утекли персональные данные 143 миллионов американцев. Информация содержала полные имена, адреса, номера страховых полисов и водительских прав и даже более 200 тыс. номеров кредитных карт. «Отличилась» компания Equifax. А причиной стала критическая уязвимость Apache Struts 2, которая была пропатчена за 2 месяца до того. Все просто: разработчики воспользовались опенсорсными компонентами, но проверить их не удосужились. Просто забыли, или не успели – детали уже не так важны.

Все дело – в SCA. Ручная проверка используемого кода – дело трудоемкое, требующее значительного времени. И для этого применяются инструменты, которых в случае Equifax, похоже, не было. Это – решения класса Software Composition Analysis, предназначенные для автоматического поиска, выявления и устранения уязвимостей кода, а также контроля использования внешних репозиториев.

Когда лет десять назад открытый код стал массово использоваться при разработке приложений, то для многих стала очевидной проблема: прежде чем воспользоваться репозиторием и применить в разрабатываемом решении чужой код, его нужно обязательно проверить. И, чем больше такого кода применяется, тем более трудоемкой становится задача. Явные проблемы как правило быстро находят решение. Случай с опенсорсными библиотеками не стал исключением: проверкой безопасности озаботилась молодая компания Sonatype.

Она до сих пор остается сравнительно немногочисленной: в ней трудятся около 250 специалистов. Зато продукт, который они выпускают и развивают, стал настоящей палочкой-выручалочкой для множества групп разработки. Особенно для тех их участников, которые отвечают за вторую часть DevSecOps.

Sonatype Nexus

Sonatype Nexus – платформа, главное бизнес-назначение которой – снижение рисков, связанных с компрометацией данных или приложений при взломе через уязвимый год. Они, как хорошо известно, могут привести к огромным финансовым потерям и репутационному ущербу, который не поддается измерению, но подчас не менее серьезен, чем прямые убытки. Кроме того, благодаря Nexus компания может сократить затраты на разработку, благодаря автоматизации проверок открытого кода, и на контроль безопасности разработки.  

В переводе на язык функциональности это означает, что при помощи Nexus группы разработки решают несколько задач: проксируют обращение к библиотекам кода, собирают код и управляют этими зависимостями в автоматическом режиме, без регулярных проверок репозитория.

Возможностей у Nexus множество. Во-первых, платформа может быстро проверить открытый код на соответствие политикам безопасности и, тем самым, помочь принять решение о том, включать ли его в проект или нет. При этом платформа просматривает результаты оценки непосредственно в GitHub, Bitbucket или GitLab и автоматически отслеживает актуальность используемого кода, предлагая появившиеся обновления.

Безопасники, кроме того, могут настроить в Nexus политики, учитывая и выявление уязвимостей, и контроль лицензирования, и даже стоимость разработки. При этом при обнаружении аномалий платформа либо просигнализирует о них по электронной почте, или создаст соответствующую задачу в Jira, или вовсе приостановит сборку – все зависит от серьезности выявленных уязвимостей.

Sonatype Nexus IQ Server

Nexus IQ Server – центральная часть экосистемы Sonatype. С его помощью ведется автоматический поиск необходимых компонент и одновременно обеспечивается создание и работа внутреннего репозитория компании, своего рода Maven Central в миниатюре.  Разработчики с его помощью в разы сокращают время, необходимое для поиска кода и его проверки (все происходит автоматически), а специалисты по безопасности получают гарантии соответствия артефактов корпоративным политикам. В результате разработка ускоряется, а обеспечение безопасности упрощается.

Удобство Nexus – в возможности интеграции со всеми популярными средствами разработки: Maven, Eclipse, IntelliJ, Visual Studio, GitHub, Bamboo, Jenkins, Xebia Labs и SonarQube. Столь же широк перечень поддерживаемых языков. Их полтора десятка: и Java, и Python, и С#, и множество других. REST API тоже поддерживаются в полной мере.

Sonatype Nexus Lifecycle

За создание политик безопасности и контроль их соблюдения отвечает еще один элемент платформы Sonatype – Nexus Lifecycle. CISO остается только сформулировать политики в соответствии нормами безопасности, архитектурой и топом разрабатываемого приложения. Nexus Lifecycle начинает отслеживать код на соответствие им, при этом ложные срабатывания сводятся практически к минимуму. При этом контроль ведется на всем жизненном цикле продукта – от создания кода и бильда до развертывания и использования.

Sonatype Nexus Firewall

Еще один элемент платформы Sonatype, Nexus Firewall, отвечает за безопасность контура разработки. Решение можно настроить на пропуск определенных компонентов по срокам его существования, популярности, особенностям лицензирования, выставить набор действий в соответствии с правилами – и не соответствующие им пакеты просто не попадут внутрь периметра.

Sonatype Nexus Repository

А почему, собственно, только внешне репозитории? А как быть с собственным кодом? Его тоже необходимо контролировать! Для этого существует специальное решение -- Nexus Repository, с помощью которого можно управлять бинарными библиотеками, билдами, релизами или компонентами. Nexus Repository поддерживает все популярные форматы, средства контроля доступа и среды разработки, и позволяет работать с любыми компонентами, вне зависимости от того, на каком цикле разработки они используются.

Кстати, Nexus Repository – одно из самых популярных решений в своем классе. Его используют более 100 тысяч компаний.