Софтуер Black Duck – Управление и осигуряване на вашия софтуер с отворен код


Не е тайна, че използването на софтуерни компоненти с отворен код нараства с много бързи темпове. Това важи както за младите стартиращи компании, така и за утвърдените разработчици на предприятия. Разработчиците, които включват тези компоненти с отворен код, трябва по някакъв начин да останат в крак с много проблеми с лицензирането и уязвимостта на сигурността на тези компоненти. Повече от 10 години софтуерът Black Duck помага на разработчиците да се справят с тези предизвикателства и натрупа най-голямата в сектора база данни с информация за компоненти с отворен код.

В разговора ми с Майк Pittenger, вицепрезидент за стратегията за сигурност в Black Duck Software, обсъждаме Black Duck KnowledgeBase и техния Hub продукт, който използва цялата му информация. Ние също така разглеждаме някои от най-изненадващите констатации, които се появиха в хода на одитите на кода на Black Duck, както и някои от тенденциите, които Майк вижда от уникалната си гледна точка на общността с отворен код.

Contents

Моля, кажете ми малко за себе си и вашия произход.

Аз съм в индустрията за сигурност от 17 години, работейки в компании като Authentica и @stake (придобита от Symantec). Аз също бях съосновател на Veracode и ръководех завъртането на този екип от @stake. През 2009 г. стартирах собствена маркетингова консултантска компания в областта на сигурността. Black Duck беше мой клиент и в един момент ми направиха предложение да се присъединя към тях на пълен работен ден. Компанията има страхотен продукт и страхотен мениджърски екип, затова казах „да“ и се присъединих към тях като служител през март 2015 г..

Както разбирам, фокусът на компанията и предлагането на продукти се развиват през годините. Можете ли да ми разкажете за историята на компанията, преди да се потопим в спецификата на офертите?

Black Duck Software е основана през 2003 г. и през следващото десетилетие се фокусира върху решения за спазване и управление на лицензи с отворен код. Скоро стана лидер в пространството и бързо бе приет от големи компании, особено когато те извършват надлежното си старание преди да придобият друга софтуерна компания.

От 2013 г. Black Duck насочи своя основен фокус към управлението на рисковете за сигурност с отворен код и през 2015 г. пуснахме нашия водещ продукт, Black Duck Hub.

Какво точно е хъбът на Black Duck?

Black Duck Hub е цялостен инструмент за управление с отворен код. В основата си той сканира изходния код на проекта, за да открие всички компоненти с отворен код. След това той търси съответните уязвимости в нашата база данни с отворен код. Базата знания за черната патица е най-изчерпателната база данни на информацията с отворен код. В момента проследяваме над 2,5 милиона уникални проекта, с данни, събрани през последните 10 години, включително покритие на:

  • уязвимостите
  • Пълни текстове за лиценз и задължение
  • Общностна дейност

Установихме, че средно софтуерно приложение днес съдържа около 35% код с отворен код, който преобразува в около 150 уникални компонента с отворен код. Тези числа се увеличават бързо.

Всяка година има съобщения за над 3000 уязвими места с отворен код. Традиционното тестване на софтуер и автоматизираните инструменти за тестване за сигурност не са ефективни при намирането на тези уязвимости.

Ние описваме рисковете, които адресираме, както следва:

  • Риск за сигурността - Предоставяне на информация за уязвимостите, докладвани в компоненти с отворен код. Тази информация идва от публични източници като Националната база данни за уязвимост на NIST (Национален институт за стандарти и технологии), както и десетки други източници, които Black Duck следи.
  • Лицензен риск - Това предоставя на клиентите информация за лицензи с отворен код в софтуера, които не са подходящи за модела на внедряване за определено приложение (например разпределено софтуерно приложение, използващо GPL лиценз).
  • Операционен риск - Показател за това колко добре се поддържа проект с отворен код - броят на участниците, броят на ангажиментите през последната година, независимо дали са налични или не по-нови версии. Целта е да помогнем на клиентите да избягват използването на отворен код, който е бил ефективно приключен от общността.

използване на лиценз на черна патица

Изглежда, че всичко се базира на вашата база знания - правилно ли е? Как започна това и как се поддържа?

Да, базата знания за черната патица в ключа към хъба и имаме 50 души, които работят по него. Започнахме да работим по него през 2002 г., когато компанията беше основана и оттогава я подобряваме. Много от компонентите, които добавихме в KB в първите ни дни, вече не са обществено достъпни, което прави нашия KB уникален по своята способност да проследява тези компоненти. Ежедневно наблюдаваме около 8 500 различни сайтове за нови издания на софтуер с отворен код. Актуализираме информацията за компонента два пъти на ден и актуализираме данни за уязвимост на всеки час.

Преди година създадохме Центъра за изследвания с отворен код & Иновации (COSRI). Целта е да се осигурят авангардни изследвания, иновации, информация и образование, за да се гарантира, че екосистемата с отворен код остава жива и сигурна.

Към COSRI има няколко компонента. В допълнение към знанието за черната патица има група, която се фокусира върху машинното обучение и други съвременни техники за по-подробно идентифициране на елементи от изходния код. Има и Black Duck Open Hub, който е онлайн общност и публична директория с безплатен и отворен код софтуер за откриване, оценка, проследяване и сравняване на отворен код и проекти. Open Hub има 350 000 регистрирани потребители и може да се редактира от всички, подобно на уики.

Какви са интеграциите на DevOps, които предлагате?

Ние вярваме, че е най-добре да интегрирате сканирането на изходния код на Hub в процеса на изграждане на проекта. За да можем да направим това, ние разработихме интеграции в популярни инструменти за всички етапи на процеса на изграждане. Ние предлагаме всички тези интеграции безплатно за нашите клиенти и направихме повечето от тях достъпни като софтуер с отворен код.

интеграции с черни патици

Предлагате няколко вида одити на кодове - какви са те? Кои бяха най-големите изненади, които открихте при тези одити?

Това са еднократни одити, които наричаме „Черна патица при поискване“. Те обикновено се искат от компания по време на процедурата за надлежна проверка и включват един или повече от следните видове одит:

  • Одитиране с отворен код
  • Одитиране на сигурността с отворен код
  • Анализ на качеството на кода
  • Шифроване одит

Най-голямата изненада за мен от гледна точка на сигурността е, че 2/3 от всички приложения, които използват софтуер с отворен код, съдържат уязвимости в този софтуер. Средно открихме 27 уязвимости на приложение. Може би още по-шокиращо е, че средната възраст на уязвимостта - времето от разкриването на уязвимостта до одита - беше по-голяма от 4 години! Някои дори бяха цели 9-12 години.

одити на черни патици

Как определяте пазара си? Коя е вашата конкретна целева аудитория на този пазар?

За нашия продукт Hub обикновено работим с CTO на компанията (главен технологичен директор) или CSO (главен служител по сигурността) по аспектите на сигурността и с вътрешен съветник на компанията по въпросите на лицензирането..

За нашите одиторски услуги обикновено работим с фирми за рисков капитал или компании, които придобиват други компании или софтуерни активи.

Колко активни клиенти имате днес? Къде са основно разположени?

Вече имаме повече от 2000 клиенти, основно в центъра на САЩ. Също така имаме силно присъствие в Европа, Близкия изток и Азиатско-Тихоокеанския регион.

Как бихте описали настоящия си типичен клиент?

Варира. Имаме много клиенти, които са ISV (независими доставчици на софтуер), изграждащи търговски софтуерни продукти. Имаме и много корпоративни клиенти, които пишат много софтуер за собствена употреба, напр. финансови услуги, застрахователни компании и технологични компании.

Кои са едни от най-големите ви клиенти?

С гордост можем да кажем, че списъкът ни с клиенти включва някои от най-големите компании в света:

  • Intel
  • JPMorgan Chase
  • Nintendo
  • Samsung
  • SAP
  • ScienceLogic

Кого виждате като ваши основни конкуренти? Как си различен?

През последните няколко години видяхме няколко нови компании, които се опитват да разрешат този проблем, като разгледат какви софтуерни компоненти се декларират в процеса на изграждане (само).

Ние използваме тристепенен подход за идентифициране на компоненти с отворен код и потенциални уязвимости:

  1. Декларации за мениджър на пакети
  2. Какви компоненти всъщност се използват
  3. Транзитивни зависимости

Имате уникална предимство, за да видите цялостната общност с отворен код. Какви промени и тенденции виждате по отношение на компаниите, които използват софтуер с отворен код?

Наблюдаваме значително увеличение на броя на компаниите, използващи софтуер с отворен код. Това, което може би е малко изненадващо, е, че виждаме все повече компании да допринасят софтуер обратно към общността с отворен код. Това е много важно, защото осигурява силна общност и осигурява както растеж, така и подкрепа.

За да ви посоча цифри за вас, нека ви дам представа колко проекти с отворен код сме проследили през последните няколко години:

2013 1 милион
2015 1.5 милиона
2017 2,5 милиона

Забелязали ли сте нещо по-специално за стартиращи програми и софтуер с отворен код?

Виждам много стартъпи чрез одити, които извършваме. Днес стартъпите използват софтуер с отворен код, за да създадат толкова, колкото половината от своя продукт. Това им позволява да стигнат до пазара по-бързо и също така да намалят разходите си за развитие. Комбинацията от скорост и икономия на разходи е силна мотивация за използване на софтуер с отворен код.

Как виждате, че сигурността и софтуерът с отворен код се развиват през следващите години?

Наблюдава се все по-голяма информираност и за двата елемента и те привличат много внимание. Не само уязвимостите предизвикват внимание, но и решенията виждат добър растеж. Компаниите все по-често предприемат действия за решаване на проблемите, а не само за отчитане на проблеми.

Какви са бъдещите ви планове за Black Duck?

Black Duck ще продължи да се стреми да бъде лидер в управлението и сигурността с отворен код. Това надхвърля просто идентифицирането на компоненти с отворен код. Това включва подпомагане на клиентите да гарантират, че използват код с отворен код, който отговаря на техните бизнес нужди, както и апетита им за риск (напр. Нулевите уязвимости не е непременно целта за всяко приложение).

Колко служители имате днес? Къде се намират?

Black Duck има над 300 служители. Повечето се намират в нашия щаб в Бърлингтън, Масачузетс. Офисът ни в Белфаст, Обединеното кралство е вторият ни най-голям офис, следван отблизо от офисите в Тейл, Великобритания и Сан Хосе, Калифорния. В допълнение имаме офиси в Китай, Тайван и на няколко места в Европа.

Как се появи името на компанията Black Duck?

Това е въпросът, който ни се задава най-често ... (смее се). Черната патица е кръстена на домашния любимец на основателя.

Софтуер Black Duck - Управление и осигуряване на вашия софтуер с отворен код

 

Какво обичаш да правиш, когато не работиш?

Хобитата ми са риболов, колоездене и дървообработка.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me