Black Duck Software – Upravljanje i osiguranje vašeg otvorenog softvera


Nije tajna da upotreba komponenti softvera otvorenog koda raste vrlo brzim tempom. To vrijedi kako za mlade startup tvrtke, tako i za poznate programere poduzeća. Programeri koji uključuju ove komponente otvorenog koda trebaju nekako biti na vrhu brojnih pitanja licenciranja i sigurnosnih ranjivosti ovih komponenti. Više od 10 godina Softver Black Duck pomaže programerima u rješavanju ovih izazova i prikupio je najveću bazu podataka informacija o komponentama otvorenog koda u industriji..

U mom razgovoru s Mikeom Pittengerom, potpredsjednikom sigurnosne strategije tvrtke Black Duck Software, razgovaramo o Black Duck KnowledgeBase i njihovom proizvodu Hub koji koristi sve njegove informacije. Također istražujemo neke od najneobičnijih otkrića koji su se pojavili tijekom revizije koda Black Duck, kao i neke trendove koje Mike vidi iz svoje jedinstvene ishodišne ​​točke u zajednici otvorenog koda.

Molim te, reci mi malo o sebi i svojoj pozadini.

U sigurnosnoj industriji sam već 17 godina, radim u tvrtkama poput Authentica i @stake (kupio ih Symantec). Bio sam i suosnivač Veracode-a i vodio odbojnu ekipu iz @stake-a. 2009. godine pokrenuo sam vlastitu marketinšku konzultantsku tvrtku u sigurnosnom prostoru. Black Duck bio je moj klijent i u jednom trenutku su mi dali ponudu da im se pridružim na puno radno vrijeme. Tvrtka ima sjajan proizvod i sjajan menadžerski tim, pa sam rekao da i pridružio im se kao zaposlenik u ožujku 2015. godine.

Koliko razumijem, tvrtka se fokusirala i nudila proizvode tijekom godina. Možete li mi, molim vas, reći o povijesti tvrtke, prije nego što uđemo u specifičnosti ponude?

Black Duck Software osnovan je 2003. godine, a tijekom sljedećeg desetljeća fokusiran je na rješenja za usklađenost i upravljanje licencom otvorenog koda. Ubrzo je postao lider u prostoru i brzo su ga prihvatile velike tvrtke, posebno kada su vršili dužnu skrbnost prije nego što su nabavili drugu softversku kompaniju.

Počevši od 2013. godine, Black Duck je svoj glavni fokus preusmjerio na upravljanje sigurnosnim rizicima otvorenog koda, a 2015. godine objavili smo svoj vodeći proizvod, Black Duck Hub.

Što je točno središte Black Duck?

Black Duck Hub je kompletan alat za upravljanje otvorenim kodom. U svojoj srži, skenira izvorni kôd projekta kako bi otkrio sve komponente otvorenog koda. Zatim traži odgovarajuće ranjivosti u našoj otvorenoj izvornoj bazi znanja. Baza znanja o crnoj patci najcjelovitija je baza podataka otvorenih izvora. Trenutno pratimo više od 2,5 milijuna jedinstvenih projekata, s podacima prikupljenim u posljednjih 10 godina, uključujući pokrivenost:

  • ranjivosti
  • Potpuni tekstovi licenci i obveze
  • Djelatnost zajednice

Otkrili smo da prosječna programska aplikacija danas sadrži oko 35% otvorenog koda, što mapira na oko 150 jedinstvenih komponenti otvorenog koda. Ti se brojevi brzo povećavaju.

Svake godine prijavi se preko 3.000 otvorenih izvora. Tradicionalno testiranje softvera i automatizirani alati za testiranje sigurnosti nisu učinkoviti u pronalaženju tih ranjivosti.

Rizike kojima se bavimo opisujemo na sljedeći način:

  • Rizik sigurnosti - Pružanje informacija o ranjivosti prijavljenim u komponentama otvorenog koda. Te informacije dolaze iz javnih izvora, poput Nacionalne baze podataka o ranjivosti NIST (Nacionalni institut za standarde i tehnologiju), kao i desetaka drugih izvora koje Black Duck prati.
  • Rizik licence - To kupcima pruža informacije o licencama otvorenog koda u softveru koji nisu prikladni za model implementacije za određenu aplikaciju (npr. Distribuirani softverski program koji koristi GPL licencu).
  • Operativni rizik - Metrika o tome koliko je projekt otvorenog koda dobro podržan - broj suradnika, broj dodataka u protekloj godini, jesu li dostupne ili ne novije verzije. Cilj je pomoći kupcima da izbjegavaju korištenje otvorenog koda koji je zajednica učinkovito okončala.

korištenje licence za crne patke

Čini se da se sve temelji na vašoj KnowledgeBase - točno? Kako je to započelo i kako se održava?

Da, baza znanja Black Duck u ključu za središte i na njemu imamo 50 ljudi koji rade. Na njemu smo počeli raditi 2002. godine, kada je tvrtka osnovana i od tada je unapređujemo. Mnoge komponente koje smo dodali KB-u u našim ranijim danima više nisu javno dostupne, što čini naš KB jedinstvenim u mogućnostima praćenja tih komponenti. Svakodnevno pratimo oko 8.500 različitih web mjesta radi novih izdanja softvera otvorenog koda. Informacije o komponentama ažuriramo dva puta dnevno i ažuriramo ih podaci o ranjivosti na svakih sat vremena.

Prije godinu dana osnovali smo Centar za istraživanje otvorenih izvora & Inovacija (COSRI). Cilj je pružiti vrhunska istraživanja, inovacije, informacije i obrazovanje kako bi se osiguralo da ekosustav otvorenog koda ostane živ i siguran.

COSRI ima nekoliko komponenti. Pored Znanja o crnoj patci, postoji grupa koja se fokusira na strojno učenje i druge napredne tehnike za detaljnije prepoznavanje elemenata izvornog koda. Tu je i Black Duck Open Hub, mrežna zajednica i javni direktorij besplatnog i otvorenog koda softvera za otkrivanje, procjenu, praćenje i usporedbu otvorenog koda i projekata. Otvoreni centar ima 350.000 registriranih korisnika i uređuju ih svi, slično kao wiki.

Koje su DevOps integracije koje nudite?

Vjerujemo da je najbolje integrirati skeniranje izvornog koda na čvorište u proces izrade projekta. Da bismo to omogućili, razvili smo integracije u popularne alate za sve faze procesa izrade. Svim tim integracijama nudimo besplatno našim kupcima i većinu njih smo učinili dostupnim kao softver otvorenog koda.

integracije crnih patki

Nudite nekoliko vrsta revizija koda - što su oni? Koja su najveća iznenađenja koja ste pronašli u tim revizijama?

To su jednokratne revizije koje nazivamo „crna patka na zahtjev”. Tvrtka ih obično zahtijeva tijekom postupka dubinske provjere i sadrže jednu ili više sljedećih vrsta revizija:

  • Revizija otvorenog koda
  • Otvoreni nadzor sigurnosti
  • Analiza kvalitete koda
  • Revizija šifriranja

Najveće iznenađenje za mene iz sigurnosne perspektive je da 2/3 svih aplikacija koje koriste softver otvorenog koda sadrže ranjivosti u tom softveru. U prosjeku smo pronašli 27 ranjivosti po aplikaciji. Možda je još šokantnije to što je prosječna dob ranjivosti - vrijeme od otkrivanja ranjivosti do revizije - bilo veće od 4 godine! Neki su imali čak 9-12 godina.

revizije crnih patki

Kako definirate svoje tržište? Tko je vaša specifična ciljna publika na tom tržištu?

Za svoj Hub proizvod obično surađujemo s CTO-om tvrtke (Chief Technology Officer) ili OCD-om (Chief Security Officer) na sigurnosnim aspektima i sa kućnim savjetnikom tvrtke za pitanja licenciranja..

Za naše usluge revizije obično radimo s firmama rizičnog kapitala ili tvrtkama koje nabavljaju druge tvrtke ili softversku imovinu.

Koliko aktivnih kupaca imate danas? Gdje se uglavnom nalaze?

Sada imamo više od 2000 kupaca, uglavnom usredotočenih u SAD-u. Također imamo snažnu prisutnost u Europi, na Bliskom Istoku i u Azijsko-Pacifiku.

Kako biste opisali svog trenutnog tipičnog kupca?

Varira. Imamo mnogo kupaca koji ISV-ovi (nezavisni dobavljači softvera) grade komercijalne softverske proizvode. Imamo i mnogo poslovnih kupaca koji pišu puno softvera za vlastitu upotrebu, npr. financijske usluge, osiguravajuće kuće i tehnološke tvrtke.

Tko su neki od vaših najvećih kupaca?

S ponosom možemo reći da naš popis kupaca uključuje neke od najvećih svjetskih kompanija:

  • Intel
  • JPMorgan Chase
  • Nintendo
  • Samsung
  • SAP
  • ScienceLogic

Koga vidite kao svoje glavne konkurente? Po čemu se razlikujete?

U posljednjih nekoliko godina vidjeli smo nekoliko novih tvrtki koje pokušavaju riješiti ovaj problem gledajući koje softverske komponente se deklariraju u procesu izrade (samo).

Koristimo trofazni pristup identificiranju komponenti otvorenog koda i potencijalnih ranjivosti:

  1. Izjave upravitelja paketa
  2. Koje se komponente zapravo koriste
  3. Prijelazne ovisnosti

Imate jedinstvenu prednost da biste vidjeli cjelokupnu zajednicu otvorenog koda. Koje promjene i trendove vidite u pogledu tvrtki koje koriste softver otvorenog koda?

Vidimo značajno povećanje broja tvrtki koje koriste softver otvorenog koda. Ono što je možda malo iznenađujuće je to da primjećujemo da sve više tvrtki doprinosi softveru zajednici otvorenog koda. Ovo je vrlo važno jer osigurava snažnu zajednicu i pruža i rast i podršku.

Kako bih vam odredio brojeve, dopustite mi da vam predstavim koliko projekata otvorenog koda pratimo u posljednjih nekoliko godina:

2013 1 milijun
2015 1.5 milijun
2017 2,5 milijuna

Jeste li primijetili išta posebno u vezi sa startapima i softverom otvorenog koda?

Vidim puno startupa kroz revizije koje obavljamo. Startupi danas koriste softver otvorenog koda za izgradnju čak polovine svog proizvoda. To im omogućuje brže pristupanje tržištu, a također i niže troškove razvoja. Kombinacija brzine i uštede troškova snažna je motivacija za korištenje softvera otvorenog koda.

Kako vidite sigurnost i softver otvorenog koda koji se razvija u narednim godinama?

Raste svijest o oba ova elementa i oni privlače veliku pažnju. Ne samo ranjivosti privlače pažnju, već i rješenja vide dobar rast. Tvrtke sve više poduzimaju mjere za rješavanje problema, a ne samo prijavljivanje problema.

Koji su tvoji budući planovi za Crnu patku?

Black Duck će se i dalje truditi da bude lider u upravljanju i sigurnosti otvorenog koda. To nadilazi jednostavno identificiranje komponenti otvorenog koda. To uključuje pomaganje klijentima da osiguraju korištenje otvorenog koda koji zadovoljava njihove poslovne potrebe, kao i njihovu sklonost riziku (npr., Nula ranjivosti nije nužno cilj svake aplikacije).

Koliko danas imate zaposlenih? Gdje se nalaze?

Black Duck ima preko 300 zaposlenih. Većina se nalazi u našem sjedištu u Burlingtonu, MA. Naš ured u Belfastu, Velika Britanija, naš je drugi po veličini ured, a slijedi ga ured u Thealeu, Ujedinjenom Kraljevstvu i San Joseu, CA. Osim toga, imamo urede u Kini, Tajvanu i na nekoliko lokacija u Europi.

Kako je nastalo ime tvrtke Black Duck?

To je pitanje koje nam najčešće postavljaju ... (smijeh). Crna patka dobila je ime po osnivačkom ljubimcu iz djetinjstva.

Black Duck Software - Upravljanje i osiguranje vašeg otvorenog softvera

 

Što volite raditi kad ne radite?

Moji hobiji su ribolov, biciklizam i obrada drva.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me