Introduction 

Sonatype a pour mission de mettre à disposition de vos équipes de développeurs des informations précises sur les composants open source et de vous aider à identifier les bibliothèques open source qui pourraient accroître les risques cybernétiques afin de les éviter. Nous nous engageons à agir en toute transparence quant à nos pratiques en matière de sécurité et à vous aider à comprendre notre approche. 

Sécurité organisationnelle 

Le programme de sécurité des informations de Sonatype est conforme aux normes ISO 27000 et NIST et est continuellement mis à jour avec les nouvelles recommandations et bonnes pratiques du secteur. 

Un organisme de gouvernance officiel composé de cadres se réunit à intervalles réguliers pour prendre des décisions relatives à la gestion, aux politiques, aux risques et au financement du programme. L'équipe Sonatype en charge de la sécurité, qui opère sous la houlette du directeur de la sécurité des informations, est responsable de la mise en œuvre et de la gestion de notre programme de sécurité. Le directeur de la sécurité des informations peut compter sur le soutien des membres de l'équipe consultative en charge de la sécurité organisationnelle, de la recherche en matière de sécurité, de la sécurité du DevOps, de la surveillance, de la réponse aux incidents, de la gestion des risques et de la conformité. 

Protection des clients 

Le programme de sécurité de Sonatype a pour but de protéger nos clients, nos employés et notre entreprise. Notre équipe de professionnels de la sécurité, qui travaille main dans la main avec les membres de nos autres services, prend toutes les mesures nécessaires pour identifier et atténuer les risques, mettre en œuvre les bonnes pratiques et améliorer continuellement les services que nous proposons. 

Le code de votre application n'est jamais transmis à Sonatype : nous utilisons un algorithme de hachage pour identifier de manière unique les marqueurs spécifiques du code analysé. Ces marqueurs, qui sont envoyés à Sonatype, sont alors utilisés comme clés pour récupérer les métadonnées des composants associés aux composants open source connus.

Coup d'œil sur le concept du Security by Design 

Le programme de sécurité des informations de Sonatype repose sur les principes de défense approfondie et de moindre privilège afin de renforcer la sécurité de notre entreprise et des produits que nous proposons, et ce à tous les niveaux. Nous devrions obtenir la certification ISO 27001 au début de l'année 2021. 

Nos politiques de sécurité des informations comprennent une politique de sécurité d'envergure mondiale, la reprise après sinistre et la continuité des opérations, la réponse aux incidents, la classification des données, la gestion des ressources, les RH et la conformité. Ces politiques sont révisées sur une base annuelle et lorsque d'importants changements ont lieu. Nos employés sont tenus de suivre une formation de sensibilisation à la sécurité. 

L'équipe en charge de la sécurité des produits de Sonatype a conçu un cycle de développement sécurisé qui s'appuie principalement sur nos propres produits et pratiques OWASP. Bien que nous nous efforçons de détecter toutes les vulnérabilités qui pourraient survenir lors des phases de conception et d'essai, des erreurs peuvent tout de même se produire. C'est pourquoi nous avons mis en place un programme public de divulgation des bugs afin de favoriser la divulgation des vulnérabilités de sécurité potentielles de manière responsable. L'exactitude des vulnérabilités identifiées est vérifiée, et ces dernières sont ensuite triées et suivies jusqu'à leur résolution. 

Nos contrôles de reprise après sinistre et de continuité des opérations sont testés au moins une fois par an. Nous proposons l'authentification multifacteur à tous nos clients pour leur permettre d'accéder à leur boîte mail, à leurs fichiers ou à d'autres services, et ce processus de sécurité est également obligatoire pour rejoindre l'environnement de production dans AWS. IAM, Guard Duty, les groupes de sécurité VPC et Cloud Trail comptent parmi les contrôles de sécurité compris dans AWS, et notre plan de réponse aux incidents comprend les rôles et responsabilités de base, les procédures de remontée des incidents ainsi que la communication. 

Toutes les données transmises entre les services Sonatype et leurs clients sont protégées par des protocoles de chiffrement robustes. Sonatype prend en charge les dernières recommandations en termes de suites cryptographiques sécurisées pour chiffrer l'ensemble du trafic en transit, y compris l'utilisation des protocoles TLS 1.2 et le chiffrement AES256. 

Conclusion 

La protection de nos clients et la possibilité de concevoir facilement des logiciels plus sécurisés est une responsabilité que nous prenons très au sérieux et nous faisons tout notre possible pour conserver la confiance de nos utilisateurs. Pour toute question ou préoccupation, veuillez contacter votre chargé de compte.