Programska oprema Black Duck – Upravljanje in zaščita vaše odprtokodne programske opreme


Ni skrivnost, da uporaba komponent odprtokodne programske opreme raste zelo hitro. To velja tako za mlada zagonska podjetja kot tudi za uveljavljene podjetniške razvijalce. Razvijalci, ki vsebujejo te odprtokodne komponente, morajo nekako ostati na vrhu številnih težav z licencami in varnostnih ranljivosti teh komponent. Programska oprema Black Duck že več kot 10 let pomaga razvijalcem pri reševanju teh izzivov in je nabrala največjo industrijsko bazo podatkov o komponentah odprtega koda.

V mojem pogovoru z Mikeom Pittengerjem, podpredsednikom varnostne strategije pri Black Duck Software, razpravljamo o Black Duck KnowledgeBase in njihovem izdelku Hub, ki uporablja vse njegove podatke. Prav tako preučujemo nekatere najbolj presenetljive ugotovitve, ki so se pojavile med revizijami kode Black Duck, pa tudi nekatere trende, ki jih Mike vidi iz svojega edinstvenega vidika v odprtokodni skupnosti.

Prosim, povejte mi malo o sebi in svojem ozadju.

V varnostni industriji sem že 17 let in delam v podjetjih, kot sta Authentica in @stake (pridobil jih je Symantec). Bil sem tudi soustanovitelj Veracode in vodil vrtenje te ekipe iz @stake. Leta 2009 sem v varnostnem prostoru ustanovil lastno tržno svetovalno podjetje. Black Duck je bila moja stranka in v nekem trenutku so mi ponudili ponudbo, da se jim pridružim s polnim delovnim časom. Podjetje ima odličen izdelek in odlično vodstveno ekipo, zato sem rekel pritrdilno in se jim kot zaposleni pridružil marca 2015.

Kolikor razumem, se je z leti fokus in ponudba izdelkov razvijala. Mi lahko prosim poveste o zgodovini podjetja, preden se potopimo v posebnosti ponudbe?

Black Duck Software je bila ustanovljena leta 2003 in se je naslednje desetletje osredotočala na rešitve za skladnost in upravljanje licenc z odprtokodnimi licencami. Kmalu je postala vodilna v vesolju in hitro so jo prevzela velika podjetja, še posebej, ko so pred skrbnostjo skrbeli za izvedbo drugega podjetja.

Z letom 2013 je Black Duck svoj glavni poudarek preusmeril na obvladovanje varnostnih tveganj v odprtokodnem viru, leta 2015 pa smo izdali svoj vodilni izdelek, Black Duck Hub.

Kaj točno je pesto Black Duck?

Black Duck Hub je popolno odprtokodno orodje za upravljanje. V svojem bistvu pregleda izvorno kodo projekta, da odkrije vse komponente odprtega koda. Nato poišče ustrezne ranljivosti v naši odprtokodni zbirki znanja. Baza znanja Black Duck je najbolj obsežna baza podatkov o odprtokodnih informacijah v industriji. Trenutno sledimo več kot 2,5 milijona edinstvenih projektov, zbrani podatki v zadnjih 10 letih, vključno s pokritjem:

  • Ranljivosti
  • Celotna besedila licenc in obveznosti
  • Dejavnost Skupnosti

Ugotovili smo, da povprečna programska aplikacija danes vsebuje približno 35% odprtokodne kode, ki preslika na približno 150 edinstvenih odprtokodnih komponent. Te številke se hitro povečujejo.

Vsako leto poročajo o več kot 3000 ranljivosti odprtega koda. Tradicionalno testiranje programske opreme in samodejna orodja za varnostno testiranje niso učinkoviti pri odkrivanju teh ranljivosti.

Tveganja, ki jih obravnavamo, opišemo na naslednji način:

  • Varnostno tveganje - Zagotavljanje informacij o ranljivostih, o katerih se poroča v odprtokodnih komponentah. Te informacije prihajajo iz javnih virov, kot je nacionalna zbirka podatkov o ranljivosti NIST (Nacionalni inštitut za standarde in tehnologijo), pa tudi na desetine drugih virov, ki jih Black Duck spremlja.
  • Tveganje licence - Strankam omogoča informacije o odprtokodnih licencah v programski opremi, ki niso primerne za model uvajanja za določeno aplikacijo (npr. Distribuirana programska aplikacija z uporabo licence GPL).
  • Operativno tveganje - Meritev o tem, kako dobro je podprt projekt z odprto kodo - število prispevkov, število prispevkov v zadnjem letu, ne glede na to, ali so na voljo novejše različice ali ne. Cilj je pomagati strankam, da se izognejo uporabi odprte kode, ki jo je skupnost dejansko končala.

uporaba licence za črno raco

Zdi se, da vse temelji na vaši bazi znanja - pravilno? Kako se je to začelo in kako se vzdržuje?

Da, bazo znanja Black Duck je ključ do vozlišča in na njem imamo 50 ljudi, ki delajo. Z njo smo začeli delati leta 2002, ko je bilo podjetje ustanovljeno in ga od takrat izboljšujemo. Mnoge komponente, ki smo jih KB-ju dodali v zgodnjih dneh, niso več na voljo javnosti, zaradi česar je naša KB edinstvena po njihovi sledljivosti. Dnevno spremljamo približno 8.500 različnih spletnih mest za nove izdaje programske opreme z odprtokodno programsko opremo. Informacije o komponentah posodabljamo dvakrat na dan in jih posodabljamo podatki o ranljivosti vsako uro.

Pred letom dni smo ustanovili Center za odprtokodne raziskave & Inovacije (COSRI). Cilj je zagotoviti vrhunske raziskave, inovacije, informacije in izobraževanje, s katerimi bi zagotovili, da bo odprtokodni ekosistem ostal živahen in varen.

COSRI ima več komponent. Poleg zbirke znanja o črni raki obstaja skupina, ki se osredotoča na strojno učenje in druge napredne tehnike za bolj podrobno prepoznavanje elementov izvorne kode. Obstaja tudi Black Duck Open Hub, ki je spletna skupnost in javni imenik brezplačne in odprtokodne programske opreme za odkrivanje, ocenjevanje, sledenje in primerjavo odprtokodne kode in projektov. Open Hub ima 350.000 registriranih uporabnikov in jih lahko urejajo vsi, podobno kot wiki.

Kakšne so integracije DevOps, ki jih ponujate?

Verjamemo, da je najbolje skeniranje izhodne kode na vozlišču vključiti v postopek izdelave projekta. Da bi to omogočili, smo razvili integracije v priljubljena orodja za vse faze postopka gradnje. Strankam ponujamo vse te integracije brezplačno in jih večino omogočamo kot odprtokodno programsko opremo.

integracije črnih rac

Ponujate več vrst revizije kod - kaj so? Katera so bila največja presenečenja, ki ste jih zasledili na teh revizijah?

To so enkratne revizije, ki jih imenujemo "Black Duck on Demand". Podjetje jih običajno zahteva med postopkom skrbnega pregleda in vključujejo eno ali več naslednjih vrst revizij:

  • Revizija odprtega koda
  • Odprtokodna revizija varnosti
  • Analiza kakovosti kode
  • Revizija šifriranja

Največje presenečenje z vidika varnosti je, da je 2/3 vseh aplikacij, ki uporabljajo odprtokodno programsko opremo, vsebovalo ranljivosti v tej programski opremi. V povprečju smo ugotovili 27 ranljivosti na aplikacijo. Morda je še bolj šokantno, da je povprečna starost ranljivosti - čas od razkritja ranljivosti do revizije - bila večja od 4 let! Nekateri so bili celo kar 9–12 let.

revizije črnih rac

Kako opredelite svoj trg? Kdo je vaša ciljna publika na tem trgu?

Pri našem izdelku Hub običajno sodelujemo s CTO podjetja (glavni tehnološki direktor) ali CSO (Chief Security Officer) glede varnostnih vidikov in s hišnim svetovalcem podjetja glede vprašanj licenciranja..

Za naše revizijske storitve običajno sodelujemo s podjetji tveganega kapitala ali s podjetji, ki pridobivajo druga podjetja ali programsko opremo.

Koliko aktivnih strank imate danes? Kje se v glavnem nahajajo?

Zdaj imamo več kot 2000 strank, ki so večinoma osredotočene v ZDA. Močno smo prisotni tudi v Evropi, na Bližnjem vzhodu in v Aziji.

Kako bi opisali svojo trenutno tipično stranko?

Razlikuje se. Imamo veliko strank, ki ISV (neodvisni prodajalci programske opreme) gradijo komercialne programske izdelke. Imamo tudi veliko podjetniških strank, ki pišejo veliko programske opreme za lastno uporabo, npr. finančne storitve, zavarovalnice in tehnološka podjetja.

Kdo so nekateri od vaših največjih strank?

S ponosom lahko povemo, da naš seznam strank vključuje nekatera največja svetovna podjetja:

  • Intel
  • JPMorgan Chase
  • Nintendo
  • Samsung
  • SAP
  • ScienceLogic

Koga vidite kot svoje glavne tekmece? Kako si drugačen??

V zadnjih nekaj letih smo videli več novih podjetij, ki se trudijo rešiti to težavo, tako da pogledajo, katere komponente programske opreme so prijavljene v postopku izdelave (samo).

Uporabljamo tristranski pristop k prepoznavanju odprtokodnih komponent in potencialnih ranljivosti:

  1. Izjave upravitelja paketov
  2. Katere komponente se dejansko uporabljajo
  3. Prehodne odvisnosti

Za ogled celotne odprtokodne skupnosti imate edinstveno izhodišče. Kakšne spremembe in trendi vidite v podjetjih, ki uporabljajo programsko opremo z odprto kodo?

Opažamo znatno povečanje števila podjetij, ki uporabljajo programsko opremo z odprto kodo. Kar je morda malce presenetljivo, je to, da opažamo, da vse več podjetij, ki prispevajo programsko opremo nazaj v odprtokodno skupnost, opaža vse več podjetij. To je zelo pomembno, saj zagotavlja močno skupnost in zagotavlja tako rast kot podporo.

Dovolite mi, da vam predstavim, koliko odprtokodnih projektov smo spremljali v zadnjih nekaj letih:

2013 1 milijon
2015 1,5 milijona
2017 2,5 milijona

Ste že opazili kaj posebej o zagonih in odprtokodni programski opremi?

Skozi revizije, ki jih izvajamo, vidim veliko zagonov. Starši danes uporabljajo odprtokodno programsko opremo, da ustvarijo kar polovico svojega izdelka. To jim omogoča hitrejše trženje in znižanje stroškov razvoja. Kombinacija hitrosti in prihranka stroškov je močna motivacija za uporabo odprtokodne programske opreme.

Kako vidite, da se varnost in odprtokodna programska oprema razvijata v naslednjih letih?

Obe teh elementov se vedno bolj zavedata in pritegneta veliko pozornosti. Pozornost ne prinašajo le ranljivosti, temveč tudi dobre rešitve. Podjetja vse pogosteje ukrepajo za reševanje težav, ne pa samo o poročanju o težavah.

Kakšni so vaši prihodnji načrti za Black Duck?

Black Duck si bo še naprej prizadeval za vodilno vlogo pri upravljanju in varnosti z odprto kodo. To presega preprosto identificiranje odprtokodnih komponent. Vključuje pomoč strankam pri zagotavljanju, da uporabljajo odprtokodno kodo, ki ustreza njihovim poslovnim potrebam, in tudi njihovo nagnjenost k tveganju (npr. Ničelna ranljivost ni nujno cilj vsake aplikacije).

Koliko zaposlenih imate danes? Kje se nahajajo?

Black Duck ima več kot 300 zaposlenih. Večina jih je na sedežu našega Burlingtona, MA. Naša pisarna v Belfastu, Velika Britanija, je naša druga največja pisarna, ki ji tesno sledijo pisarne v Thealeu v Veliki Britaniji in San Joseju, CA. Poleg tega imamo pisarne na Kitajskem, Tajvanu in na več lokacijah v Evropi.

Kako je nastalo ime podjetja Black Duck?

To je vprašanje, ki si ga najpogosteje zastavimo… (smeh). Črna raca je dobila ime po hišnem ljubljenčku ustanovitelja.

Programska oprema Black Duck - Upravljanje in zaščita vaše odprtokodne programske opreme

 

Kaj radi počnete, ko ne delate?

Moji hobiji so ribolov, kolesarjenje in lesarstvo.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me