Sonatype 是软件供应链自动化技术的领导者，拥有 300 多名员工，1000 多家企业客户，并受到超过 1000 万软件开发人员的信赖。Sonatype 的 Nexus 平台将深入化组件智能与实时修复指南相结合，支持 DevOps 团队和开发人员在现代开发管道的每个阶段自动集成安全性。

一、Nexus Lifecycle 消除整个 SDLC 中的开源风险。

       这并不是秘密。开发人员都会使用开源代码 — 事实上，85% 的现代应用均由开源组件组成，但不幸的是，有十分之一的开源组件中包含已知的安全漏洞。考虑到这种固有风险，现代软件团队如何选择最佳组件，管理开源的使用情况，并且仍以 DevOps 的速度交付项目？自动化开源治理。

       借助 Nexus Lifecycle，开发人员和安全专家就能在整个 SDLC 中选择更加安全的开源组件，从而确保组织在更低的风险下继续开展创新活动。

二、支持开发人员选择更加安全的组件

        借助 Chrome 浏览器扩展程序，开发人员在从公共存储库中选择开源组件时即可知晓某个开源组件是否存在漏洞。

三、在 IDE 中的纠正已知问题

        通过与源代码库和 IDE 相集成，开发人员可以根据实时智能选择最佳组件，并且一键点击即可切换到经核准的版本。Nexus Lifecycle 与GitHub、GitLab、BitBucket、Eclipse、IntelliJ和 Visual Studio 相集成。

四、在整个 SDLC 中执行开源策略

        根据应用类型或组织来创建自定义安全、许可和架构策略，并在 SDLC 的每个阶段根据环境情况执行这些策略。自动策略执行只会在 Nexus Intelligence 保证精确性和准确性的情况下发生，因而消除了其他解决方案中发现的误报/漏报问题。

五、我们支持您的日常工具

        在您日常使用的工具中自动执行策略并查看专业修复指南。Nexus Lifecycle 可与 Nexus Repository、Artifactory、GitHub、GitLab、IDE、Jira、Jenkins、Azure DevOps、Micro Focus Fortify、Xebia Labs、OpenShift、Mesosphere OS、AWS、Docker 等软件搭配使用。

        在 IDE 中的纠正已知问题通过与源代码库和 IDE 相集成，开发人员可以根据实时智能选择最佳组件，并且一键点击即可切换到经核准的版本。Nexus Lifecycle 与

GitHub、GitLab、BitBucket、Eclipse、IntelliJ和 Visual Studio 相集成。

六、自动生成软件物料清单

        通过了解所使用的具体组件及使用位置来验证策略合规性。只需短短几分钟，即可为每个应用生成精确的软件 BoM，以识别每个开源组件及其依赖项。

七、识别并修复容器漏洞

        通过与 Red Hat Clair 相集成，您可以在现有的控制面板和报告中查看容器的所有层级（运行时、操作系统和应用级别）中的开源风险。使用 Nexus Lifecycle 的灵活策略引擎来治理整个容器内的开源风险。