Sonatype présente la gestion des dépendances nouvelle génération | Communiqué de presse

Endress+Hauser et la plateforme Nexus

Comment le logiciel d'instrumentation et d'automatisation des processus a tiré parti de la plateforme Nexus

Endress+Hauser (Endress and Hauser) est une entreprise d'instrumentation et d'automatisation des processus basée en Suisse, forte d'un réseau de 100 entreprises dans 44 pays différents. En 2017, les ventes nettes du groupe ont atteint 2,1 milliards d'euros. Les sites de productions d'E+H sont situés en Allemagne, en Suisse, en France, en Italie, en Afrique du Sud, en Chine, en Inde, mais aussi aux États-Unis, au Japon et au Brésil.

L'équipe de développement logiciel interne de l'entreprise utilise la plateforme Nexus pour gérer les licences open source et le governance, tout en s'occupant de la vulnérabilité des composant et de l'évaluation des risques.

Défi : suivre et surveiller la consommation des bibliothèques pour le bon fonctionnement des projets open source

Lars Brößler, développeur logiciel chez Endress+Hauser, fait partie de l'équipe responsable du développement de nouveaux logiciels et de la conservation des fonctionnalités héritées du système. Son équipe a développé et gère bon nombre d'applications destinées à l'usage interne de l'entreprise. 

« Nous avons évalué Black Duck, Veracode et Nexus Lifecycle. Mes collègues et moi avons préféré Lifecycle car il s'avère la meilleure solution pour ce que nous tentons de faire : supprimer tous les problèmes critiques avant qu'ils n'atteignent le stade de production. »
— Lars Brößler, développeur logiciel, Endress+Hauser

Lars parle des difficultés rencontrées lors de l'utilisation de composants et de bibliothèques open source dans le workflow existant : « Les bibliothèques téléchargées et utilisées étaient trop nombreuses. La consommation de ces composants et bibliothèques n'était ni suivie, ni surveillée. N'importe qui pouvait télécharger des éléments, et personne ne savait quelles bibliothèques étaient utilisées, ni même dans quel contexte. »

Le plus grand défi qu'il a fallu relever était l'utilisation d'un processus de suivi manuel. « Nous avions mis en place un processus de suivi manuel pour des centaines d'applications. Après avoir évalué quinze bibliothèques, nous avons tout arrêté », explique M. Brößler en secouant la tête. « Il nous était impossible de mesurer ou de gérer un tel volume de consommation. »

Solution : adopter Nexus Lifecycle pour réduire les faux positifs lors de la surveillance du bon fonctionnement de l'application

Lars et son équipe se sont alors mis à la recherche d'une solution. Ils ont fini par réduire leur recherche à trois solutions envisageables.

« Nous avons évalué Black Duck, Veracode et Nexus Lifecycle. Nexus Lifecycle était la meilleure option du marché en termes de gestion des licences logicielles en open source et des vulnérabilités des composants. Mes collègues et moi avons préféré Lifecycle car il s'avère la meilleure solution pour ce que nous tentons de faire : supprimer tous les problèmes critiques avant qu'ils n'atteignent le stade de production. »

Comparé à Veracode et Black Duck, Nexus Lifecycle affichait un taux de faux positifs moindre. L'équipe a donc établi une preuve de concept (POC), qu'elle a présentée à l'équipe de direction : « L'approbation de cet achat s'est imposée comme un choix logique. »

Résultat : suivi et surveillance automatiques des composants dans le cadre des processus de développement et de production

Les difficultés que Lars rencontrait au niveau de la consommation et de la gestion des composants open source ont presque toutes disparu avec l'implémentation de la plateforme Nexus. Nexus Lifecycle permet désormais à l'équipe de suivre et de surveiller automatiquement les composants déployés lors des phases de développement et de production.

« Nous pouvons désormais accéder aux mêmes bibliothèques pour plusieurs builds », explique-t-il. « La plateforme nous permet également de voir les bibliothèques à l'échelle de l'entreprise, jusqu'au détail des versions utilisées pour chaque application. »

Suivi et surveillance de la consommation open sourceConclusion : intégrer Sonatype Nexus au pipeline de sécurité permet de remédier aux problèmes critiques avant qu'il n'atteignent la phase de production

Lorsque nous lui avons demandé pourquoi Endress+Hauser a choisi la plateforme Nexus, M. Brößler nous a répondu sans détour : « Nous avons évalué Black Duck, Veracode et Nexus Lifecycle. Mes collègues et moi avons préféré Nexus Lifecycle car il est optimisé pour ce que nous tentons de faire : supprimer tous les problèmes critiques avant que les applications nouvellement développées n'entrent en phase de production. »

« La plateforme Nexus sera intégrée au pipeline de sécurité, et constituera une étape obligatoire dès l'entrée en vigueur de nos nouvelles directives en matière de sécurité. L'objectif de ce processus est de s'assurer qu'aucune application ne passe en production sans voir été automatiquement évaluée par Nexus Lifecycle. »

M. Brößler conclut en exprimant sa satisfaction quant à la plateforme Nexus : « Je l'ai choisie personnellement. Non seulement cette plateforme me facilite la tâche, mais elle simplifie également notre processus de sécurisation. Je recommande vivement cette solution. »

CONTACTER L'ÉQUIPE COMMERCIALE

Prêt à essayer les produits Nexus ?

Sonatype, une meilleure façon de construire