Black Duck Software – Управление и защита вашего программного обеспечения с открытым исходным кодом


Не секрет, что использование компонентов программного обеспечения с открытым исходным кодом растет очень быстрыми темпами. Это относится как к молодым начинающим компаниям, так и к разработчикам корпоративных приложений. Разработчики, которые включают эти компоненты с открытым исходным кодом, должны каким-то образом оставаться в курсе многих проблем лицензирования и уязвимостей безопасности этих компонентов. Уже более 10 лет Black Duck Software помогает разработчикам решать эти проблемы и накапливает крупнейшую в отрасли базу данных с информацией о компонентах с открытым исходным кодом..

В моем разговоре с Майком Питтенгером, вице-президентом по стратегии безопасности в Black Duck Software, мы обсуждаем базу знаний Black Duck и ее продукт-хаб, который использует всю ее информацию. Мы также рассмотрим некоторые из самых удивительных открытий, которые были обнаружены в ходе аудита кода Black Duck, а также некоторые тенденции, которые Майк видит со своей уникальной позиции в сообществе открытого исходного кода..

Contents

Пожалуйста, расскажите мне немного о себе и своем прошлом.

Я работаю в индустрии безопасности 17 лет, работая в таких компаниях, как Authentica и @stake (приобретена Symantec). Я также был соучредителем Veracode и руководил отделением этой команды от @stake. В 2009 году я основал собственную маркетинговую консалтинговую компанию в сфере безопасности. Black Duck был моим клиентом, и в какой-то момент мне предложили присоединиться к ним на полный рабочий день. У компании отличный продукт и отличная управленческая команда, поэтому я сказал «да» и присоединился к ним в качестве сотрудника в марте 2015 года..

Насколько я понимаю, сфера деятельности компании и предложения продуктов менялись с годами. Можете ли вы рассказать мне об истории компании, прежде чем мы углубимся в специфику предложений?

Black Duck Software была основана в 2003 году, и в течение следующего десятилетия она сосредоточилась на решениях для обеспечения соответствия и управления лицензиями с открытым исходным кодом. Вскоре она стала лидером в этой области и была быстро принята крупными компаниями, особенно когда они проводили комплексную проверку перед приобретением другой компании-разработчика программного обеспечения..

Начиная с 2013 года, Black Duck сместил свое основное внимание на управление рисками безопасности с открытым исходным кодом, а в 2015 году мы выпустили наш флагманский продукт, Black Duck Hub.

Что такое Black Duck Hub?

Black Duck Hub - это полноценный инструмент управления с открытым исходным кодом. По своей сути он сканирует исходный код проекта, чтобы обнаружить все компоненты с открытым исходным кодом. Затем он ищет соответствующие уязвимости в нашей базе знаний с открытым исходным кодом. База знаний Black Duck является самой полной в отрасли базой данных с открытым исходным кодом. В настоящее время мы отслеживаем более 2,5 миллионов уникальных проектов, данные которых собраны за последние 10 лет, включая охват:

  • Уязвимости
  • Полные тексты лицензий и обязательства
  • Общественная деятельность

Мы обнаружили, что сегодня среднее программное приложение содержит около 35% открытого исходного кода, который сопоставляется примерно с 150 уникальными компонентами с открытым исходным кодом. Эти цифры быстро растут.

Каждый год сообщается о более чем 3000 уязвимостей с открытым исходным кодом. Традиционные средства тестирования программного обеспечения и средства автоматического тестирования безопасности неэффективны для обнаружения этих уязвимостей.

Мы описываем риски, к которым обращаемся, следующим образом:

  • Риск безопасности - Предоставление информации об уязвимостях в открытых компонентах. Эта информация поступает из открытых источников, таких как Национальная база данных уязвимостей NIST (Национальный институт стандартов и технологий), а также из десятков других источников, которые отслеживает Black Duck.
  • Лицензионный риск - Это предоставляет клиентам информацию о лицензиях с открытым исходным кодом в программном обеспечении, которые не подходят для модели развертывания для конкретного приложения (например, распределенное программное приложение, использующее лицензию GPL).
  • Операционный риск - Метрика о том, насколько хорошо поддерживается проект с открытым исходным кодом - количество участников, количество коммитов за последний год, доступны ли более новые версии. Цель состоит в том, чтобы помочь клиентам избежать использования открытого исходного кода, которое было эффективно прекращено сообществом.

использование лицензии черной утки

Кажется, что все основано на вашей базе знаний - правильно? Как это началось и как оно поддерживается?

Да, База знаний Black Duck в ключе от Хаба, и над ней работают 50 человек. Мы начали работать над этим в 2002 году, когда была основана компания, и с тех пор постоянно расширяем ее. Многие из компонентов, которые мы добавили в КБ в наши первые годы, более не являются общедоступными, что делает нашу КБ уникальной в своей способности отслеживать эти компоненты. Ежедневно мы отслеживаем около 8500 различных сайтов на предмет новых выпусков программного обеспечения с открытым исходным кодом. Мы обновляем информацию о компонентах два раза в день и обновляем данные об уязвимостях каждый час.

Год назад мы создали Центр открытых исследований & Инновация (COSRI). Цель состоит в том, чтобы предоставить передовые исследования, инновации, информацию и образование, чтобы гарантировать, что экосистема с открытым исходным кодом остается живой и безопасной.

Есть несколько компонентов COSRI. В дополнение к базе знаний Black Duck существует группа, которая занимается машинным обучением и другими передовыми методами для более детальной идентификации элементов исходного кода. Существует также Black Duck Open Hub, который представляет собой интернет-сообщество и общедоступный каталог бесплатного программного обеспечения с открытым исходным кодом для обнаружения, оценки, отслеживания и сравнения открытого исходного кода и проектов. Open Hub имеет 350 000 зарегистрированных пользователей и доступен для редактирования всем, подобно вики.

Какие интеграции DevOps вы предлагаете?

Мы считаем, что лучше всего интегрировать сканирование исходного кода Hub в процесс сборки проекта. Для этого мы разработали интеграции в популярные инструменты для всех этапов процесса сборки. Мы предлагаем все эти интеграции бесплатно для наших клиентов и сделали большинство из них доступными как программное обеспечение с открытым исходным кодом..

Интеграции черной утки

Вы предлагаете несколько видов аудита кода - что это такое? Какие самые большие сюрпризы вы обнаружили в этих аудитах?

Это однократные проверки, которые мы называем «Black Duck on Demand». Они, как правило, запрашиваются компанией в процессе комплексной проверки и включают один или несколько следующих типов аудита:

  • Аудит открытого исходного кода
  • Аудит безопасности с открытым исходным кодом
  • Анализ качества кода
  • Аудит шифрования

Самым большим сюрпризом для меня с точки зрения безопасности является то, что 2/3 всех приложений, использующих программное обеспечение с открытым исходным кодом, содержат уязвимости в этом программном обеспечении. В среднем мы обнаружили 27 уязвимостей на приложение. Возможно, еще более шокирующим является то, что средний возраст уязвимости - время от раскрытия уязвимости до аудита - превысил 4 года! Некоторым было даже целых 9-12 лет.

ревизия черной утки

Как вы определяете свой рынок? Кто является вашей целевой аудиторией на этом рынке??

Для нашего продукта Hub мы обычно работаем с техническим директором компании (CSO) или CSO (директором по безопасности) по аспектам безопасности и с внутренним консультантом компании по вопросам лицензирования..

Для наших аудиторских услуг мы обычно работаем с венчурными фирмами или компаниями, приобретающими другие компании или активы программного обеспечения..

Сколько активных клиентов у вас сегодня? Где они в основном расположены?

Сейчас у нас более 2000 клиентов, в основном в США. У нас также есть сильное присутствие в Европе, на Ближнем Востоке и в Азиатско-Тихоокеанском регионе.

Как бы вы описали своего текущего типичного клиента?

Различается. У нас есть много клиентов, которые являются независимыми поставщиками программного обеспечения, которые создают коммерческие программные продукты. У нас также есть много корпоративных клиентов, которые пишут много программного обеспечения для собственного использования, например финансовые услуги, страховые компании и технологические компании.

Кто некоторые из ваших крупнейших клиентов?

Мы с гордостью можем сказать, что в наш список клиентов входят некоторые крупнейшие компании мира:

  • Intel
  • JPMorgan Chase
  • Nintendo
  • Samsung
  • SAP
  • ScienceLogic

Кого вы считаете своими основными конкурентами? Как ты отличаешься?

За последние несколько лет мы видели, как несколько новых компаний пытались решить эту проблему, рассматривая, какие программные компоненты объявляются в процессе сборки (только).

Мы используем трехсторонний подход к идентификации компонентов с открытым исходным кодом и потенциальных уязвимостей:

  1. Объявления менеджера пакетов
  2. Какие компоненты фактически используются
  3. Переходные зависимости

У вас есть уникальная точка зрения для просмотра всего сообщества открытого исходного кода. Какие изменения и тенденции вы видите в отношении компаний, использующих программное обеспечение с открытым исходным кодом??

Мы наблюдаем значительное увеличение числа компаний, использующих программное обеспечение с открытым исходным кодом. Что может быть немного удивительно, так это то, что мы видим, что все больше и больше компаний вносят свой вклад в софтверное сообщество. Это очень важно, потому что оно обеспечивает сильное сообщество и обеспечивает рост и поддержку.

Чтобы привести цифры к вам, позвольте мне дать вам представление о том, сколько проектов с открытым исходным кодом мы отслеживали за последние несколько лет:

2013 1 миллион
2015 1.5 миллиона
2017 2.5 миллиона

Вы заметили что-нибудь особенно о стартапах и программном обеспечении с открытым исходным кодом??

Я вижу много стартапов через аудиты, которые мы проводим. Стартапы сегодня используют программное обеспечение с открытым исходным кодом, чтобы собрать до половины своего продукта. Это позволяет им быстрее выйти на рынок, а также снизить затраты на разработку. Сочетание скорости и экономии затрат является сильной мотивацией для использования программного обеспечения с открытым исходным кодом..

Каким вы видите развитие безопасности и программного обеспечения с открытым исходным кодом в ближайшие годы??

Растет осознание обоих этих элементов, и они привлекают большое внимание. Внимание привлекают не только уязвимости, но и решения. Компании все чаще принимают меры для решения проблем, а не просто сообщают о проблемах.

Какие планы на будущее для Black Duck??

Black Duck будет и впредь стремиться быть лидером в области управления открытым исходным кодом и безопасности. Это выходит за рамки простой идентификации компонентов с открытым исходным кодом. Это включает помощь клиентам в обеспечении того, чтобы они использовали открытый исходный код, соответствующий их бизнес-потребностям, а также их склонность к риску (например, нулевая уязвимость не обязательно является целью для каждого приложения).

Сколько сотрудников у вас сегодня? Где они находятся?

У Black Duck более 300 сотрудников. Большинство из них находится в нашем штаб-квартире в Берлингтоне, штат Массачусетс. Наш офис в Белфасте, Великобритания, является вторым по величине офисом, за которым следуют офисы в Тиле, Великобритания и Сан-Хосе, Калифорния. Кроме того, у нас есть офисы в Китае, на Тайване и в нескольких местах в Европе..

Как появилось название компании Black Duck??

Это вопрос, который нам задают чаще всего ... [смеется]. Черная утка была названа в честь питомца детства основателя.

Black Duck Software - Управление и защита вашего программного обеспечения с открытым исходным кодом

 

Что вы любите делать, когда не работаете?

Мои хобби - рыбалка, езда на велосипеде и деревообработка.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me