Sonatype présente la gestion des dépendances nouvelle génération | Communiqué de presse

Genome.One
et Nexus Lifecycle

Créer le futur de la santé de précision

Genome.One est une société d'informations de santé, qui apporte des réponses génétiques à des questions de santé grâce au séquençage et à l'analyse cliniques complets du génome. L'objectif de l'entreprise est d'améliorer la vie des patients, des familles et communautés dans le monde en préparant l'avenir de la santé de précision.Les logiciels sont au cœur de toutes leurs activités.

Les recherches de Genome.One portent sur les diagnostiques de maladie, les découvertes en génomique, la génomique de santé personnelle, et les applications de santé de précision. L’innovation logicielle est au cœur de ces efforts et Nexus Repository, Nexus Firewall, et Nexus Lifecycle sont utilisés pour appliquer automatiquement les politiques d’accréditation, de sécurité et de gouvernance vis-à-vis des composants open source.

Le défi : gérer le recours à l'open source à grande échelle

Ce qui revêt le plus d'importance pour l’équipe de développement de Genome.One, ce sont les projets internes, qui desservent le diagnostic clinique par la génomique. Ils doivent adhérer aux règles, aux politiques et aux règlementations émises par les autorités, the le ministère australien de la santé étant un autre intervenant majeur. 

Tudor Groza, CTO, explique comment il a relevé le défi initial. « Mes collègues du service juridique m'ont mis au pied du mur en me disant : "Vous devez gérer la gouvernance de vos composants open source." Au départ, j'ai procédé manuellement. C'était un processus laborieux consistant à vérifier les licences et dépendances à la main sur l'une des premières plateformes. »

Le premier exercice manuel a été réalisé sur un fichier Word, afin de faciliter les choses pour le service juridique. Après trois mois, il y a eu une mise à jour de certaines des dépendances, puis un autre contrôle manuel pour s'assurer que les licences étaient toujours les mêmes. Ce n'est qu'à ce moment-là que le processus a pris fin. 

« Comme vous pouvez l'imaginer, c'était horrible », dit Groza en y repensant. « Je ne pense pas que notre société soit différente des autres. Il y avait peu de surveillance des composants une fois déployés dans une application. Cela montrait clairement qu'il devait exister un outil, quelque part, qui pouvait s'en charger. »

« Le fait de voir une démonstration du Nexus IQ Server a changé notre perception quant à son utilisation et nos besoins, il fallait aller au-delà de la simple vérification des licences. L'utilisation première s'est révélée être le contrôle des vulnérabilités et la rédaction de politiques autour de ces vulnérabilités. »
– Tudor Groza, directeur technique, Genome.One

La solution : adopter Nexus Lifecycle pour automatiser l'Open Source Governance et la gestion des politiques.

En tant qu'équipe de développement logiciel, Genome.One a commencé à fabriquer des produits pour ses partenaires début 2017. La toute première chose qu'ils souhaitaient mettre en place était un repository d'artefact.

« Pour être honnête, il n'y a pas tant d'options que cela. Nous nous sommes d'abord intéressés à Artifactory. Mais on ne voyait simplement pas comment cela pouvait fonctionner pour nous. Nous avons estimé que Nexus serait bien plus adapté à nos besoins. C'était facile à installer et on pouvait l'utiliser immédiatement. »Les proxies Java et NPM étaient « les fruits des branches les plus basses » en matière de gestion binaire et de publication Maven.

Genome.One fonctionne utilise une technique de pipeline logiciel en continuous integration, et la plateforme Nexus fait partie de cette intégration. L'équipe de développeurs n'a pas été impactée par la mise en place de ce système de gouvernance automatisée et de gestion des politiques. Des structures open source relativement bien établies ont été utilisées. On a vu cela davantage comme un contrôle de sûreté. Lorsque d'autres dépendances ont été ajoutées, la question de revenir en arrière et de vérifier les licences ne s'est pas posée.

« Jusqu’à ce que nous voyions la démo de Nexus Lifecycle, nous ne nous préoccupions pas trop des vulnérabilités » raconte Groza. « C’était peut-être un signe d’immaturité de la part de notre équipe », reconnaît-il. « Le fait de voir une démonstration a changé notre perception quant à son utilisation et à nos besoins, il fallait aller au-delà de la simple vérification des licences. Et çà, juste parce que nous n’aurions plus à le faire manuellement. Mais en fait, l’utilisation première s’est révélée être le contrôle des vulnérabilités et la rédaction de politiques autour de ces vulnérabilités. »

Le résultat : Analyser les vulnérabilités pour maintenir la qualité de la consommation open source

Groza décrit un avantage majeur que présente l’utilisation de la plateforme Nexus. « L’utilisation de Nexus Lifecycle présente un aspect qualitatif car je sais que je n’ai pas à me livrer à cet exercice manuel et laborieux consistant à contrôler les licences. Ensuite, une fois les contrôles de vulnérabilité établis, nous savions que tout était là, en cours d’exécution en arrière plan. C’est un réel soulagement. »

Genome One - Four Quandrants.png

Genome.One a de la chance car il n'est pas difficile d'obtenir l'adhésion du reste de la société. Les collaborateurs comprennent la valeur qu'apporte un outil qui fait gagner du temps et soulage des contrôles manuels de façon régulière, et le fait de mettre en place quelque chose de bien bien mieux.

« Nous devons garder en tête que nous traitons des données patients et de santé. La sécurité passe avant tout. Le fait que nous puissions tracer les vulnérabilités et leurs dépendances grâce à Nexus Lifecycle allège la liste des choses à faire. »

La conclusion : bénéficier de capacités de validation automatisée et d'évaluation des risques logiciels grâce à une assistance de classe mondiale assurant une intégration rapide

Lorsqu'on lui demande ce qu'il pense du travail avec l'équipe Nexus, Groza est catégorique.

« Nous avons une excellente relation avec l'équipe. Lorsque nous nous sommes heurtés à des problèmes d'installation au début, Sonatype a pu intervenir rapidement et facilement auprès de nos équipes. Nous ne serions pas en train d'avoir cette discussion si les choses ne s'étaient pas bien passées ! »

Pour l'équipe, la prochaine étape consiste à obtenir l'autorisation d'utiliser le logiciel en tant que dispositif médical, ce qui rendra la validation des résultats du logiciel bien plus compliquée. C'est là que Nexus Platform continuera à fournir une validation automatique et une évaluation de la gestion du risque dans le cadre de la mission de Genome.One : transformer la santé par la génomique. 

Genome One - Banner - v03

CONTACTER L'ÉQUIPE COMMERCIALE

Prêt à essayer les produits Nexus ?

Sonatype, une meilleure façon de construire