Sonatype приобретает MuseDev и расширяет платформу анализа кода Nexus

Источник · Перевод автора

Sonatype, которая предоставляет разработчикам инструменты для создания более качественного программного обеспечения, приобрела платформу анализа кода MuseDev. По словам генерального директора компании Уэйна Джексона (Wayne Jackson), это приобретение добавляет удобное для разработчиков сканирование кода на платформу Sonatype для создания платформы управления цепочкой поставок программного обеспечения «полного спектра».

Современная разработка программного обеспечения заключается не столько в написании разработчиками каждой строчки кода, сколько в том, что они собирают различные компоненты с помощью собственного кода. Это означает, что сторонний код почти всегда присутствует в приложении, и есть несколько способов внесения ошибок в код. Разработчики должны тестировать свой собственный код, чтобы убедиться в отсутствии ошибок, и регулярно проверять, что стандартные блоки не содержат проблем, которые могут повлиять на их приложения.

Sonatype создает инструменты, которые помогают разработчикам управлять различными строительными блоками и предупреждают разработчиков о потенциальных проблемах, которые необходимо исправить. По словам Джексона, исторически Sonatype фокусировалась на сканировании программного обеспечения с открытым исходным кодом на предмет уязвимостей в системе безопасности и на том, чтобы не допустить попадания в приложение рискованных компонентов. Инструменты Sonatype помогли выявить уязвимости в системе безопасности в коде, который разработчики не писали, но которые могут повлиять на их приложение.

«Поскольку разработчики берут на себя больше ответственности за контейнеры, код и инфраструктуру, наша миссия – облегчить им жизнь, пока они создают отличное программное обеспечение», – сказал Джексон. Способ помочь «разработчикам оптимизировать код, который они пишут, – доставить его непосредственно в цепочку инструментов».

Инструменты, в которых живет разработчик

Платформа анализа кода MuseDev сканирует исходный код не только на наличие уязвимостей. Инструмент статического анализа подчеркивает качество кода и может выявить критические проблемы с производительностью и надежностью в коде, а также определить, есть ли проблемы со стилем, которые могут повлиять на ремонтопригодность кода.

Разработчики не хотят иметь уязвимости в своем коде, но «они также не хотят, чтобы их публиковали посреди ночи из-за сбоя приложения» из-за проблем с производительностью, сказал VentureBeat генеральный директор MuseDev Стивен Мэджилл.

Muse интегрирует свои 24 предварительно настроенных анализатора кода в GitHub, GitLab и Bitbucket. Анализаторы автоматически оценивают каждый запрос разработчика и сообщают обо всех обнаруженных ошибках в виде комментариев при обзоре кода. Комментарии включают четкое руководство по исправлению ошибок, а анализ рассматривает потоки информации и безопасность потоков, чтобы дать разработчикам более глубокое понимание кода. Разработчики видят все отзывы – от своих товарищей по команде и от Muse – в одном месте и могут исправлять проблемы в рамках своего обычного рабочего процесса. Нет необходимости ждать, пока группа безопасности проведет собственную оценку и проинформирует разработчиков об обнаруженных проблемах.

«Команды, использующие этот подход, в 70 раз чаще исправляют проблемы с качеством кода и безопасностью», – сказал Мэджилл.

Muse предварительно настроен так, чтобы свести к минимуму ложноположительные результаты, чтобы разработчики получали информацию о наиболее важных проблемах, что помогает разработчикам работать более эффективно и писать более качественный код. «Поскольку предприятия стремятся подтолкнуть свои команды разработчиков к более быстрой работе, становится крайне необходимо найти способы помочь разработчикам действовать быстрее, автоматизируя важные, но трудоемкие задачи, такие как анализ кода», – сказал VentureBeat главный аналитик RedMonk Стивен О’Грейди (Stephen O’Grady).

Полный спектр управления программным обеспечением

Приобретение MuseDev расширяет широту и глубину платформы Nexus Sonatype, поскольку сочетание Muse – облачного инструмента анализа исходного кода – с существующими инструментами Sonatype дает разработчикам больше контроля над своим кодом.

Nexus Container – это удобное для разработчиков решение для обеспечения безопасности контейнеров, которое обеспечивает непрерывную видимость состава и управления контейнерами от разработки до времени выполнения. Пакет «Инфраструктура как код» содержит рекомендации, которые помогут разработчикам настроить облачную инфраструктуру и обеспечить их соответствие стандартам конфиденциальности и безопасности, таким как CIS Foundations Benchmarks, GDPR и HIPAA.

Пакет помогает разработчикам исправлять ошибки в конфигурации, прежде чем они будут применены к производственной инфраструктуре. Репозиторий Nexus упрощает размещение и распространение артефактов сборки, таких как контейнеры Docker и компоненты кода. Недавно выпущенный пакет Advanced Development Pack предоставляет систему оценки в реальном времени, чтобы помочь разработчикам выбирать лучших поставщиков компонентов с открытым исходным кодом и избегать использования нескольких версий одного и того же кода. Advanced Legal Pack, который будет выпущен через несколько месяцев, улучшит видимость лицензий с открытым исходным кодом.

Разработчики смогут использовать расширенную платформу Sonatype для всех строительных блоков приложения, которые включают исходный код собственной разработки, сторонний открытый исходный код, инфраструктуру как код и контейнерный код.

«В связи с тем, что громкие атаки на цепочки поставок программного обеспечения становятся заголовками во всем мире, предприятия стремятся укрепить свою инфраструктуру разработки от злоумышленников. Однако, сколь бы важной ни была эта задача, технологические лидеры не хотят решать эту проблему сложным лоскутным одеялом из услуг, решений и поставщиков – им нужно интегрированное, сквозное решение», – сказал О’Грэйди.

Такого рода интегрированный анализ кода – это то, о чем просят предприятия, применяя методы DevOps для создания и выпуска более качественного кода и ускорения своих усилий по цифровому преобразованию для повышения скорости и эффективности. Это приобретение и расширение платформы позиционируют Sonatype очень хорошо среди компаний, предлагающих различные формы анализа и сканирования кода, включая Checkmarx, Contrast Security, Micro Focus Fortify, Snyk, Synopsys, Veracode и WhiteSource.

Компания значительно выросла за последний год. В настоящее время 70% компаний из списка Fortune 100 являются ее клиентами, обслуживающими более 2000 команд коммерческих инженеров. По словам Джексона, 12 из 15 крупнейших банков мира используют инструменты Sonatype. Среди других клиентов – различные подразделения вооруженных сил США, компании, выпускающие кредитные карты, и технологические компании. Существует более 250 000 экземпляров репозиториев Nexus, что означает, что почти 15 миллионов разработчиков используют коммерческие инструменты Sonatype и инструменты с открытым исходным кодом. Фирма частного и венчурного капитала Vista Equity Partners сделала контрольный пакет акций Sonatype еще в 2019 году, приобретя более 50%. Джексон предположил, что при текущих темпах роста компания может провести IPO.

Большинство предприятий, использующих инструменты Sonatype, не являются технологическими компаниями в традиционном смысле этого слова. По словам Джексона, существуют финансовые организации, в которых над внутренними приложениями и собственными инструментами работает больше разработчиков, чем в таких компаниях, как Apple и eBay. По словам Джексона, эти предприятия смотрят на весь жизненный цикл разработки программного обеспечения, а это означает, что они заботятся о других вещах, помимо уязвимостей безопасности, при рассмотрении работоспособности своих приложений, таких как гигиена проекта и выпуска.

«Почему [разработчикам] следует выбирать проект, который не обновлялся годами или с плохой историей коммитов?» – сказал Джексон.