Sonatype收购Vor Security，扩展对Nexus开源组件的支持

语言开发

摘要： Sonatype宣布收购Vor Security，意在扩展他们开源组件智能解决方案的覆盖范围，以包括Ruby、PHP、CocoaPods、Swift、Golang、C和C++。

作者： Helen Beal

正文：

今年六月，Sonatype宣布收购Vor Security。此次收购意在扩展Sonatype开源组件智能解决方案的覆盖范围，以包括Ruby、PHP、CocoaPods、Swift、Golang、C和C++。

作为著名工件（Artifact）仓库Apache Maven和Nexus的创立者，Sonatype一直在扩展其智能能力，已从先前围绕着Java、JavaScript、.Net和Python组件，发展为涵盖新的开源生态系统。这些新能力被打包成一个称为Nexus Lifecycle XC的新产品。类似于已有的Nexus Lifecycle产品，新产品也通过Nexus IQ服务器交付。

Vor Security的创始人兼CEO Ken Duck曾负责OSS Index的创建，OSS Index是一种对开源软件已知漏洞的免费在线索引。该索引当前包括了超过2100万软件包，以及在一系列开源生态系统中超过12万个漏洞信息。Duck将会加入Sonatype的产品和工程团队。

Sonatype的CMO Matt Howard告诉InfoQ：

企业在DevOps场景中看重的是精度和准确性，以及覆盖面的广泛性。这一收购使得我们拓展了那些易于产生大量误报的商业产品间的空间，即针对那些对我们眼界过于狭窄的批评，进而拓展了我们的能力。这是一个双赢的组件智能引擎。在知道智能是正确的情况下，DevOps客户就可以安心地中断构建，而瀑布模式客户可以生成工件清单（BOM，Bill of Materials）。我们并不会安于现状，我们将继续投入时间为所有这些生态系统治理（Curate）数据，继续提高精度和准确性。起初，Nexus XC将会是一个对Nexus Lifecycle用户免费可用的智能服务。

DevSecOps是DevOps运动所衍生出一个子集，其所关注的涉及如何改变遗留在软件开发和交付生命周期中的安全，并使安全成为每个人的工作。Nexus Lifecycle等工具使得开发人员在集成开发环境（IDE）中构建应用时可以采用组件智能，并通过告知更改以减少存在漏洞组件的数量。这些有漏洞的组件将会以此方式存活于生产平台上。

此次收购的具体财务信息并未披露。

查看英文原文： Sonatype Acquires Vor Security to Expand Nexus Open-Source Component Support