About Sonatype
Sonatype is the leading provider of DevOps-native tools to automate modern software supply chains.  As the creators of Apache Maven, the Central Repository, and Nexus Repository, Sonatype pioneered componentized software development and has a rich history of supporting open source innovation. Today, more than 120,000 organizations depend on Sonatype’s Nexus platform to govern the volume, variety, and quality of open source components flowing into modern software applications.   Sonatype is privately held with investments from New Enterprise Associates (NEA), Accel Partners, Hummer Winblad Venture Partners, Morgenthaler Ventures, Bay Partners and Goldman Sachs.

Problemstellung
Bei der Verwendung von OSS – OpenSource  Software müssen verschiedene Dinge mitbedacht werden:

• Lizenzrechte/Compliance: Welche Komponenten werden genutzt und welche Regularien sind damit verbunden und müssen gesetzlich eingehalten werden.
• Sicherheit: Welche Sicherheitslücken wurden bei verwendeter OSS aufgedeckt: Gibt es „(zero day) exploits“ sie anzugreifen und „patches“ sie zu schließen.
• Auswahl & Versionen: Sichere Komponenten auswählen. Welche Versionen der OSS sind im Einsatz und werden sie in der aktuellen Version genutzt.

Risikominimierung und Verwaltung von OSS
Mit Nexus Firewall, Lifecycle und Repository werden die verwendeten Open Source Software und ihrer Bestandteile automatisiert gefunden, überprüft und katalogisiert. Außerdem sind die Werkzeuge ich ihre gegebene Infrastruktur und Programme integriert. Regelkonformität sowie lizenzrechtliche und sicherheitstechnische Fragestellungen können damit beantwortet werden. Außerdem unterstützt die Lösung mit Informationen zum Verstehen und Beheben der Sicherheitsschwachstellen.