«IA para agilizar la recopilación de datos con el propósito de descubrimiento e investigación de vulnerabilidad»

Sonatype existe para automatizar el flujo de componentes de calidad a través de las cadenas de suministros de software. Big Data Magazine se entrevista con Mitun Zavery, Senior Engineering de Sonatype, quien nos contará la importancia de las nuevas tecnologías para recopilar los datos para investigar vulnerabilidades.

Big Data Magazine (BDM): Sonatype es una empresa internacional con presencia en muchos países del mundo, y aunque en España tienes clientes, hay muchas personas que aún no te conocen. ¿Qué es Sonatype y cómo funciona?

Mitun Zavery (MZ): Para responder a esta pregunta por completo, tenemos que dar un paso atrás y mirar dónde comenzó su vida Sonatype. Curiosamente, si tuviera que hablar con usted o con alguno de nuestros clientes sobre Nexus Repository Manager, muchas personas lo asociarían de inmediato a algo que han usado en el pasado o en el presente. Irónicamente, este no es el lugar donde comenzamos la vida como una organización empresarial y algunos años antes, nuestro CTO, Brian Fox, creó el primer Repositorio central para componentes de Java llamado Maven. Nuestras raíces están profundamente arraigadas en alentar, apoyar y permitir que los desarrolladores de todos los lenguajes de software de código abierto (OSS) estén conscientes de la necesidad de organizar, estructurar y tener visibilidad de las vulnerabilidades de seguridad y los riesgos asociados con el uso de software desarrollado por desarrolladores de OSS en la comunidad.

Sonatype utiliza una combinación de aprendizaje automático, inteligencia artificial y también investigadores altamente calificados para validar los cambios en el ecosistema OSS para garantizar que tengamos los datos más precisos y precisos sobre estos cambios. Esto nos permite proporcionar esa información a las empresas para que puedan tomar mejores decisiones sobre el OSS.

BDM: En un mundo cada vez más conectado donde hay más y más aplicaciones, es esencial que los fabricantes y desarrolladores adopten medidas de seguridad cada vez más sofisticadas, tanto para dispositivos como para aplicaciones. ¿Cree que los fabricantes y desarrolladores se toman más en serio la protección de datos desde la fase de diseño?

MZ: En un mundo donde los fabricantes y desarrolladores utilizan cada vez más OSS, estamos viendo más datos que sugieren que la Cadena de suministro en torno al software está siendo atacada. Un buen ejemplo de esto es el reciente incumplimiento del proyecto Event Stream en GitHub, que permitió a un pirata informático insertar un código vulnerable en un componente OSS utilizado por muchas personas. En este escenario, los desarrolladores se convierten en la primera línea de defensa para los fabricantes. Desafortunadamente, aunque la seguridad es un tema candente en la actualidad y los Desarrolladores deben considerar su efecto en su trabajo, aún vemos una falta de adopción de buenas prácticas de seguridad en relación con el uso de OSS y la protección de datos. La mayoría de las veces esto se debe a la falta de información, los desarrolladores tienen en torno a la seguridad, los componentes que están utilizando y sus dependencias. En resumen, los fabricantes toman en serio la seguridad; sin embargo, la implementación de procesos y herramientas en torno a esto se considera una tarea difícil y, por lo tanto, el nivel correcto de información no se filtra a los desarrolladores en la línea frontal.

BDM: Continuando con la pregunta anterior, ¿cómo ayuda su tecnología a proteger las aplicaciones?

MZ: Uno de los objetivos clave de Sonatype es cambiar el concepto de seguridad que queda, lo que permite a los desarrolladores tener información de seguridad a su alcance y pasos para solucionar el problema.

Sonatype tiene 3 productos que nos permiten brindar apoyo a empresas y desarrolladores para lograr un uso saludable de OSS dentro de las organizaciones. Estos son;

  • Sonatype Nexus Repository Manager: acelere el flujo y las organizaciones capaces de representar los repositorios centrales de una manera estructurada para garantizar que siempre tengan acceso localmente a los artefactos y recursos correctos. Esto permite a las organizaciones ejecutar las compilaciones de manera más rápida y eficiente, de modo que la aplicación desarrollada se puede mover a través de los repositorios, respetando la segregación de los roles de servicio y asegurando que todos en esa tubería sepan exactamente qué artefacto, aplicación o recurso se está utilizando.
  • Sonatype Nexus Lifecycle: utilizando nuestro enfoque único, Sonatype puede identificar exactamente qué componentes OSS se están utilizando dentro de su aplicación. Dado que alrededor del 80-90% de la mayoría de las aplicaciones empresariales se desarrollan utilizando OSS, esta es una enorme huella de riesgo que la mayoría de las empresas no se dan cuenta. ellos tienen. Sonatype ayuda a mitigar y controlar este riesgo mediante el uso de Lifecycle para que el OSS se pueda usar de manera segura y se rija dentro de las organizaciones.
  • Sonatype Nexus Firewall: con la ayuda de Sonatype Lifecycle, Nexus Firewall puede crear un perímetro o puerta de entrada a la empresa. Esto controla efectivamente qué componentes OSS entran en su organización. Ya sea en una industria altamente regulada donde se requieren ciertos requisitos de ISO o simplemente necesita mecanismos seguros de desarrollo y control, Nexus Firewall puede ayudarlo a proporcionar controles inmediatos sin sobrecargar sus necesidades de desarrollo y procesos internos.

BDM: Si hablamos de inteligencia artificial … ¿cómo utiliza Sonatype esta tecnología? ¿Puedes contarnos más sobre Nexus Intelligence?

MZ: Sonatype usa Machine Learning e Artifical Intelligence para agilizar la recopilación de datos con el propósito de descubrimiento e investigación de vulnerabilidad de OSS. Utilizamos el término Descubrimiento de vulnerabilidad automatizado y alimenta los problemas potencialmente descubiertos a nuestros equipos de inteligencia Nexus. Estos equipos amplían el análisis y proporcionan los datos a nuestros clientes.

BDM: El sector financiero es uno de los sectores más críticos cuando hablamos de datos. ¿Cuál es su experiencia trabajando con empresas en este sector?

MZ: El sector financiero es en realidad muy sofisticado cuando se trata de ingeniería eficiente y adopción de nuevas tecnologías de datos. Debido a la naturaleza del negocio, estas empresas deben ser muy progresistas al adoptar nuevas y mejores formas de trabajar, como DevOps, Data Intelligence o Análisis de composición de software, por mencionar algunas.

BDM: Cuando hablamos de desarrollo, cada desarrollador tiene sus propias necesidades según el tipo de empresa o cliente en cuestión, ¿su tecnología y soluciones se adaptan a las necesidades de cada desarrollador?

MZ: Sonatype cree que es importante agregar valor al proceso existente y no reinventar o crear un nuevo proceso. Lo que esto permite es que herramientas como Nexus Lifecycle y Repository Manager faciliten el proceso diario de un desarrollador simplemente enriqueciendo el proceso actual. Un gran error que cometen la mayoría de las empresas es distraer al desarrollador de su proceso central, lo que a su vez provoca un retraso en todo aquello en lo que el desarrollador está trabajando. Todos los productos de Sonatype son configurables y aseguran que las integraciones correctas existen para trabajar con lo que usan esos desarrolladores. Como ejemplo, Sonatype tiene varias integraciones IDE, ya que los desarrolladores tienen una preferencia en función del idioma que utilizan.

BDM: Uno de los temas más repetidos de este año en sectores como el móvil es 5G. ¿Qué crees que la tecnología permitirá a los desarrolladores hacer? ¿Crees que significará un aumento en los ataques cibernéticos?

MZ: 5G significará que es más fácil que nunca obtener componentes de OSS de Internet, esto, a su vez, significa que acceder a estos componentes con malas prácticas no administradas también se vuelve más fácil. Ahora que estos componentes son fácilmente accesibles, existe una necesidad cada vez mayor de administrar estos componentes utilizando herramientas como Sonatypes. El 5G tendrá un impacto directo en los procesos diarios de los desarrolladores para acceder a estos componentes, tal vez no, pero el creciente factor de velocidad y el movimiento más rápido hacen que algunas organizaciones tomen malas decisiones. Sonatype garantiza una velocidad continua al tiempo que admite un buen uso de los componentes OSS. Esto mitiga el riesgo expuesto cuando se usan componentes OSS y se ataca la cadena de suministro.

BDM: Si hablamos de precios, ¿su tecnología es accesible para todo tipo de empresas? ¿Ofrecen una prueba gratuita?

MZ: Sonatype es accesible para empresas de cualquier tamaño, nuestras soluciones escalan desde una licencia mínima de 10 usuarios a miles de personas en empresas. Todos los productos de Sonatype tienen un período de prueba gratuito en el que el cliente tiene acceso a todas las funciones de los productos. En la mayoría de los casos, Sonatype guía al cliente a través de la prueba para garantizar que todos los puntos de valor clave estén cubiertos y que el cliente tenga éxito en lo que está tratando de hacer. También somos ávidos colaboradores de Open Source, nuestro producto principal Nexus Repository Manager es completamente gratuito para comenzar, ya que existe una versión OSS y los clientes solo pagan por las funciones empresariales, lo que significa que no hay bloqueo de funciones en los formatos de repositorio Nexus. Hay aproximadamente 125k instancias de Nexus Repository Manager en libertad y algunas de ellas son OSS.

 

TE PUEDE GUSTAR

EVENTOS

RECIBE NUESTRA NEWSLETTER

*Email:

*Nombre:

*Empresa:

Cargo:

Sector:
     

Please don't insert text in the box below!

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio