Осигурете своите компоненти с отворен код с WhiteSource


Как се събраха WhiteSource?

WhiteSource е основан от трима съоснователи, които се познават от предишна компания, която е придобита от голяма корпорация през 2009 г. Тогава от нас се изискваше да предоставим сметки за всички компоненти с отворен код, които използвахме в нашия софтуер , Нямахме този акаунт, така че бяхме принудени да излезем и да намерим всички тези компоненти, техните зависимости и подзависимости, лицензиране и родословие. По този начин създадохме задълбочен преглед на всичко, което използвахме за приключване на транзакцията.

Сляп късмет имахме щастието да не намерим рискови компоненти в нашия софтуер. Обаче ни хрумна, че това е рисков и излишно отнемащ много време процес, въпреки че не правехме нищо, което не беше обичайна практика.

Всеки търговски софтуер, който се разработва, има отворен код в него, който не се следи внимателно. Това е голяма пропаст на пазара и за да преодолеем тази разлика, ние започнахме WhiteSource през 2011 г..

Около тази идея за осигуряване на по-добър контрол върху това, какво отворен код влиза в собствения софтуер, компанията започна с всички нормални проблеми при стартиране. Започнахме в инкубатор, преминахме към продажбите на продуктовия пазар и продължихме постепенно да се разрастваме от начален пакет до самостоятелно поддържане.

През 2016 г. динамиката на пазара се измести и повиши информираността за сигурността и уязвимостта. Започнахме да получаваме много търсене, повече, отколкото успяхме да се справим. В този момент през 2017 г. ние идентифицирахме тази възможност и започнахме кръг на финансиране. Той бе воден от 83North, който е много виден израелски рисков капитал със силно присъствие в Силиконовата долина, а Microsoft също се присъедини като стратегически инвеститор. Оттогава продължаваме да нарастваме и днес с над 100 служители и 500 клиенти имаме голямо присъствие в САЩ; имаме офиси в Ню Йорк и Бостън, най-вече извършваме продажби в Северна Америка, както и екип за инженеринг и разработка на продукти, който се намира тук в Израел.

Какво е уникалното в WhiteSource?

Нашият продукт беше първият, който предоставя непрекъснат, автоматизиран контрол и мониторинг на всички компоненти с отворен код, консумирани от софтуерните инженери и вградени като част от техния търговски софтуер. Много лесно се разгръща и е лек агент. Можете да го интегрирате за минути в съществуващия тръбопровод. Ние поддържаме всички среди за разработка и сървъри, така че на практика минават минути, преди да започнете да виждате отчети и резултати за компонентите с отворен код, които използвате и които са уязвими.

Разполагаме с широко покритие от над 200 програмни езика, рамки и среди, което е най-широко достъпното на пазара днес. Ние разделяме света на езици за програмиране, които разпространяват отворен код в двоичен формат и формат за сортиране и обхващаме и двата типа широко и точно.

Ние имаме много точна система. Ние можем да идентифицираме всички файлове с отворен код, които влизат във вашия търговски софтуер и съответстват на уязвимите файлове. И двете не са тривиални задачи и ние разработихме автоматизирана система, която да извърши съответствието и да подобри този процес, за да направи нашата система много точна. Когато казваме, че имате уязвимост, определено имате уязвимост, защото:

  1. Не ни липсват компоненти и уязвимости.
  2. Не ви заливаме с фалшиви позитиви.

Ние сме в процес на стартиране на нашия анализ на композицията на трето поколение софтуер, пазар на мониторинг и управление с отворен код. Той има възможността да идентифицира във вашия патентован код къде и как извършвате повиквания към компоненти с отворен код и след това да идентифицира обажданията във вашия патентован код, които в крайна сметка причиняват уязвим отворен код. Това ви дава възможност да дадете приоритет на уязвимостите, с които първо искате да се справите, въз основа на това дали уязвимите компоненти имат реално, пряко въздействие върху вашия продукт. Ние ви казваме кои точно уязвими компоненти с отворен код имат влияние върху вашия софтуер. Ние наричаме този анализ на ефективното използване. Ние анализираме частите на отворения код, които засягат вашия код, и след това помагаме да ги проследим до реда на кода, като улесняваме работата с уязвимостта с отворен код. Тя ще излезе през септември и работи в бета от два месеца и получава фантастична обратна връзка; това е следващата голяма стъпка в тази област.

Какъв е проблемът със сигурността с отворен код за разлика от патентования код?

Отвореният код не е по-уязвим, той е уязвим по различен начин. Когато пишете грешки собствения си код, който води до уязвимост, вие сте единственият, който знае за него. Обикновено не го правят публично достояние. Вие имате контрол над вашия код и можете да го поправите директно и да отговаряте за него. От страна на отворен код, почти винаги уязвимостта ще бъде публично известна, преди да знаете за нея и със сигурност няма да можете да я разрешите сами. Трябва да разчитате на общността с отворен код, за да разгърне корекциите и корекциите и да ги приложи по начина, по който те инструктират.

Това са два различни типа уязвимости, които изискват различни набори от инструменти. Уязвимостите с отворен код са много по-забележими и получават повече внимание от хакерите, защото могат да се научат за тях от публично достъпни външни източници и да се опитат да ги използват.

Как виждате бъдещето на Open source?

Днес отворен код вече е по-голямата част от обажданията в търговски приложения и само миноритарен дял е патентован код. В следващите няколко години екипите на софтуерното инженерство ще използват инструменти за контрол на използването на отворен код, преди да напишат ред код, по същия начин, както сега за собственически код. Те ще разполагат с различни сървъри и системи. След пет години същото ниво на контрол и внимание, което се отделя на собствения код, ще бъде отделено на код с отворен код.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me