Sonatype dévoile sa solution complète de gestion de la chaîne logistique logicielle | Communiqué de presse

Creditreform et Nexus Lifecycle

Une gestion du risque de crédit internationale sécurisée et prudente

Créé en 1879, Creditreform a pour mission de protéger ses clients contre les créances irrécouvrables, des dettes particulièrement néfastes pour la liquidité et pouvant mettre en péril une entreprise. Tous les services et solutions fournis par Creditreform ont été développés dans le but de respecter cet engagement. 

Aujourd'hui, Creditreform, dont le siège est situé à Neuss, en Allemagne, compte 167 bureaux régionaux et 4 500 employés répartis dans 23 pays d'Europe ainsi qu'en Chine. L'entreprise offre un réseau mondial d'experts pour l'évaluation de crédit et le recouvrement de créances. Par l'intermédiaire de ces services, celle-ci vise à s'assurer que ses clients partout dans le monde mènent des transactions sûres.

Creditreform utilise Nexus Lifecycle pour gérer la consommation et le suivi des composants open source sur l'ensemble de ses plateformes de développement.

« Tous les collaborateurs ayant eu un aperçu de Nexus Lifecycle ont été convaincus par cet outil. »
– Dr Antje Nowack, responsable de la recherche et de la sécurité chez Creditreform

Défi : Suivre et surveiller l'utilisation de composants open source

Les équipes de développement de Creditreform éprouvaient des difficultés à suivre et surveiller l'utilisation des composants open source. Il existait notamment un manque de transparence relatif à l'open source governance, aux licences et aux dépendances. 

Les développeurs de Creditreform étaient chargés d'évaluer la sécurité des composants qu'ils téléchargeaient, mais aucun processus systématique n'avait été mis en place pour cela.  De ce fait, il fallait avoir recours à des processus manuels pour examiner chaque licence open source individuelle. L'équipe a alors pris conscience de la nécessité de mettre en œuvre une gestion automatisée de la sécurité pour la gestion des licences et de la gouvernance au sein de toutes les équipes de développement.

Solution : Un modèle d'octroi de licences qui évolue au même rythme que le développement

Dr. Antje Nowack est à la tête de l'équipe de recherche et de sécurité, qui appartient au groupe de développement logiciel au sein de Creditreform. Ce groupe est constitué de plusieurs équipes chargées de développer les services de bureau et les applications Web de l'entreprise. Dr. Nowack est, pour sa part, responsable de l'environnement de développement pour plusieurs équipes et veille à répondre à leurs questions relatives à la sécurité. Dans le cadre de son rôle, elle a également conduit le processus d'évaluation visant à sélectionner l'outil d'automatisation de la prise en charge de l'open source governance.

Les deux outils retenus étaient : la plateforme Nexus de Sonatype et Black Duck.

Méthodologie de Creditreform en matière de OSS governance

Le fait de supprimer la possibilité pour les développeurs de réaliser des évaluations personnelles et de prendre des décisions sur l'utilisation de l'open source représentait l'un des critères pris en compte lors de la sélection, et c'est pour cela que le choix s'est porté sur Nexus Lifecycle. Par ailleurs, deux groupes de développeurs, dont les processus de travail manuels les préoccupaient, ont participé à l'évaluation.

Durant la preuve de concept (POC), chaque groupe a analysé une de ses applications et discuté des résultats. La configuration et l'utilisation de Nexus Lifecycle en association avec l'ensemble des outils de programmation existants ont été décrites comme simples. L'équipe a commencé avec des exemples de politiques issues du guide Sonatype et a ensuite configuré et affiné les politiques de gouvernance.

L'évaluation du modèle de licence de chaque entreprise constituait un autre critère pris en compte. « Le modèle de licence de Black Duck dépend du nombre et de la taille des applications, et non du nombre de personnes qui l'utilisent. Cet élément explique en partie que nous ayons porté notre choix sur Sonatype. »

Dr. Nowack revient sur la décision finale de son équipe : « Tous les collaborateurs ayant eu un aperçu de Nexus Lifecycle ont été convaincus par cet outil.

« Nous nous sommes rendu compte que Nexus Lifecycle était l'outil idéal pour nous. Nous n'avions plus besoin de mener de nombreux processus de manière manuelle, ni de nous appuyer sur les développeurs pour comprendre et déterminer le résultat d'une correction. Cela explique également que nous réfléchissons à utiliser Lifecycle pour aider les autres équipes de développement logiciel. »

Résultat : Suppression du temps consacré à l'évaluation manuelle grâce à Nexus Lifecycle

Grâce à Nexus Lifecycle se trouvant au cœur du processus d'évaluation automatisé de la sécurité de l'open source chez Creditreform, les équipes de développement peuvent désormais se concentrer sur la conception d'un logiciel sûr sans se préoccuper des processus d'évaluation manuels.

Alors que le nombre d'applications ne cesse d'augmenter, Nexus Lifecycle est également en mesure de s'adapter aux exigences des développeurs. L'équipe continue de renforcer ses politiques automatisées en matière de gouvernance et de gestion de licence afin de tirer le meilleur de Lifecycle.

« Cela fut relativement simple. Configurer et lancer Nexus Lifecycle s'est avéré être un jeu d'enfant », conclut Dr. Nowack.

OSS governance adaptée aux développeurs chez Creditreform

Conclusion : La solution Nexus Lifecycle dédiée aux développeurs est la mieux adaptée à l'évolutivité de la détection des vulnérabilités

Lorsque nous lui demandons si elle recommanderait Sonatype et la plateforme Nexus, le Dr Nowack se met à rire et nous répond : « C'est déjà fait ! Je n'arrête pas de recevoir des questions sur Sonatype. Les outils de Sonatype répondent à tous nos besoins. Il ne fait aucun doute que vous êtes des experts du développement logiciel.

Nexus Lifecycle fonctionne tellement bien que j'ai l'impression qu'ils savent comment les développeurs travaillent. »

CONTACTER L'ÉQUIPE COMMERCIALE

Envie d'essayer Sonatype ?

Sécurisez et automatisez votre chaîne logistique logicielle.