Testing: DevSecOps-Unternehmen Sonatype ĂĽbernimmt MuseDev
Das Unternehmen hinter der DevSecOps-Plattform Nexus ĂĽbernimmt mit MuseDev eine Testautomatisierungsplattform.
Das auf DevSecOps spezialisierte Unternehmen Sonatype hat die Ăśbernahme von MuseDev angekĂĽndigt, das eine Cloud-native Plattform zur Sourcecodeanalyse anbietet. Eine erste Integration in das Portfolio rund um Sonatype Nexus ist bereits fĂĽr das FrĂĽhjahr geplant.
Sonatype hat sich auf die Supply-Chain-Automatisierung spezialisiert und bietet mit dem Repository-Manager Nexus eine DevSecOps-Plattform an, mit der sich Securitytests in die Continuous-Delivery-Pipeline integrieren lassen. Kurz vor der Bekanntmachung der Übernahme hat Sonatype Version 3.30 von Nexus Repository Pro veröffentlicht.
Eine Pipeline fĂĽr die Codeanalyse
MuseDev bietet ebenfalls eine Plattform an, die auf kontinuierliche Tests ausgerichtet ist. Das Unternehmen bezeichnet Muse als Continuous-Assurance-Plattform. Das auf den Cloud-nativen Einsatz ausgelegte Produkt lässt sich direkt an Code-Repositories anbinden und überprüft im Anschluss sämtliche Pull Requests automatisiert auf Bugs.
Eine Pipeline zum Testen des Codes kann diverse Open-Source-Analysetools einbinden, die von einfachen Lintern wie ESLint für JavaScript und Staticcheck für Go bis zu Tools für tiefere statische Analyse und das Aufspüren von Schwachstellen reichen. Zu den Werkzeugen, die sich in die Pipelines integrieren lassen, gehören Pyre, FindSecBugs, Infer, Semgrep, Checkov, ShelCheck, Bandit, Brakeman, Rubocop, MDL und PMD.
Polyglotte Untersuchung
Muse untersucht Code in Java, JavaScript, Python, .NET, Go und Ruby. Auf Seite der Versionsverwaltungsplattformen arbeitet es mit GitHub, GitLab und Bitbucket zusammen. MuseDev bietet sowohl ein kommerzielles Produkt als auch eine kostenfreie Variante an. Letztere zielt auf die Analyse von Code in öffentlichen Repositories, während erstere neben zusätzlichem Support unbegrenzte private Repositories untersucht. Ein zusätzliches Enterprise-Produkt befindet sich derzeit in der privaten Betaphase.
Weitere Details lassen sich der AnkĂĽndigung von MuseDev und dem Sonatype-Blog entnehmen, die jedoch beide keine Angaben zu den genauen Konditionen machen.
(rme)