今年六月,Sonatype 宣布收购 Vor Security。此次收购意在扩展 Sonatype 开源组件智能解决方案的覆盖范围,以包括 Ruby、PHP、CocoaPods、Swift、Golang、C 和 C++。
作为著名工件(Artifact)仓库Apache Maven和Nexus的创立者,Sonatype 一直在扩展其智能能力,已从先前围绕着 Java、JavaScript、.Net 和 Python 组件,发展为涵盖新的开源生态系统。这些新能力被打包成一个称为 Nexus Lifecycle XC 的新产品。类似于已有的Nexus Lifecycle产品,新产品也通过Nexus IQ 服务器交付。
Vor Security的创始人兼 CEO Ken Duck 曾负责OSS Index的创建,OSS Index 是一种对开源软件已知漏洞的免费在线索引。该索引当前包括了超过 2100 万软件包,以及在一系列开源生态系统中超过 12 万个漏洞信息。Duck 将会加入 Sonatype 的产品和工程团队。
Sonatype 的 CMO Matt Howard 告诉 InfoQ:
企业在 DevOps 场景中看重的是精度和准确性,以及覆盖面的广泛性。这一收购使得我们拓展了那些易于产生大量误报的商业产品间的空间,即针对那些对我们眼界过于狭窄的批评,进而拓展了我们的能力。这是一个双赢的组件智能引擎。在知道智能是正确的情况下,DevOps 客户就可以安心地中断构建,而瀑布模式客户可以生成工件清单(BOM,Bill of Materials)。我们并不会安于现状,我们将继续投入时间为所有这些生态系统治理(Curate)数据,继续提高精度和准确性。起初,Nexus XC 将会是一个对 Nexus Lifecycle 用户免费可用的智能服务。
DevSecOps是 DevOps 运动所衍生出一个子集,其所关注的涉及如何改变遗留在软件开发和交付生命周期中的安全,并使安全成为每个人的工作。Nexus Lifecycle 等工具使得开发人员在集成开发环境(IDE)中构建应用时可以采用组件智能,并通过告知更改以减少存在漏洞组件的数量。这些有漏洞的组件将会以此方式存活于生产平台上。
此次收购的具体财务信息并未披露。
查看英文原文: Sonatype Acquires Vor Security to Expand Nexus Open-Source Component Support
注册/登录 InfoQ 发表评论