Software Black Duck – Gestionarea și securizarea software-ului Open Source


Nu este un secret faptul că utilizarea componentelor software open source crește într-un ritm foarte rapid. Acest lucru este valabil atât pentru companiile tinere de start-up, cât și pentru dezvoltatorii de întreprinderi consacrați. Dezvoltatorii care încorporează aceste componente open source trebuie să rămână oarecum în fruntea numeroaselor probleme de autorizare și a vulnerabilităților de securitate ale acestor componente. Timp de mai bine de 10 ani, Black Duck Software ajută dezvoltatorii să facă față acestor provocări și a acumulat cea mai mare bază de date a informațiilor despre componentele surselor deschise ale industriei..

În conversația mea cu Mike Pittenger, VP pentru strategia de securitate la Black Duck Software, discutăm despre Black Duck KnowledgeBase și produsul lor Hub care folosește toate informațiile sale. De asemenea, examinăm unele dintre cele mai surprinzătoare descoperiri care au apărut în cursul auditurilor de cod Black Duck, precum și unele dintre tendințele pe care Mike le vede din punctul său de vedere unic al comunității open source..

Contents

Vă rog să-mi spuneți un pic despre dumneavoastră și despre fondul dumneavoastră.

Sunt în industria de securitate de 17 ani, lucrând la companii precum Authentica și @stake (achiziționate de Symantec). Am fost și co-fondatorul Veracode și am condus spinarea acestei echipe de la @stake. În 2009 am început propria companie de consultanță de marketing în spațiul de securitate. Black Duck a fost un client al meu și, la un moment dat, mi-au făcut o ofertă pentru a mă alătura lor full time. Compania are un produs grozav și o echipă excelentă de management, așa că am spus da și le-am alăturat ca angajat în martie 2015.

După cum am înțeles, accentul companiei și ofertele de produse au evoluat de-a lungul anilor. Vă rog să-mi spuneți despre istoria companiei, înainte de a ne afunda în specificul ofertelor?

Black Duck Software a fost fondată în 2003, iar pentru următorul deceniu s-a concentrat pe soluții pentru respectarea licențelor open source și guvernanța. Acesta a devenit în scurt timp lider în spațiu și a fost adoptat rapid de marile companii, mai ales atunci când își îndeplineau diligența înainte de a achiziționa o altă companie de software.

Începând cu 2013, Black Duck și-a concentrat principalul obiectiv în gestionarea riscurilor de securitate open source, iar în 2015 am lansat produsul nostru principal, Black Duck Hub.

Ce este mai exact Black Duck Hub?

Black Duck Hub este un instrument complet de gestionare a surselor deschise. La baza sa, scanează codul sursă al unui proiect pentru a descoperi toate componentele open source. Apoi, caută vulnerabilități relevante în KnowledgeBase-ul nostru sursă deschisă. Black Duck Knowledgebase este cea mai cuprinzătoare bază de date a informațiilor despre surse deschise din industrie. În prezent, urmărim peste 2,5 milioane de proiecte unice, cu date culese în ultimii 10 ani, inclusiv acoperirea a:

  • Vulnerabilitățile
  • Textele și obligațiile complete ale licenței
  • Activitate comunitară

Am constatat că astăzi o aplicație software medie conține aproximativ 35% cod sursă deschisă, care asigură maparea a aproximativ 150 de componente open source unice. Aceste numere cresc rapid.

În fiecare an sunt raportate peste 3.000 de vulnerabilități open source. Testele software tradiționale și instrumentele de testare automată a securității nu sunt eficiente pentru a depista aceste vulnerabilități.

Descriem riscurile pe care le abordăm astfel:

  • Risc de securitate - Furnizarea de informații despre vulnerabilitățile raportate în componentele open source. Aceste informații provin din surse publice, precum baza de date națională a vulnerabilității NIST (Institutul Național de Standarde și Tehnologie), precum și zeci de alte surse pe care Black Duck le monitorizează.
  • Riscul licenței - Aceasta oferă clienților informații despre licențele de tip open source din software care nu sunt adecvate modelului de implementare pentru o anumită aplicație (de exemplu, o aplicație software distribuită folosind o licență GPL).
  • Risc operational - O metrică cu privire la cât de bine este un proiect open source - numărul de contribuabili, numărul de angajamente în ultimul an, indiferent dacă sunt disponibile sau nu versiuni mai noi. Scopul este de a ajuta clienții să evite utilizarea surselor deschise, care a fost în mod efectiv încheiată de viață de către comunitate.

utilizarea licenței de rață neagră

Se pare că totul se bazează pe baza dvs. de cunoștințe - corect? Cum a fost început și cum se menține?

Da, Black Duck KnowledgeBase în cheia hub-ului și avem 50 de oameni care lucrează la el. Am început să lucrăm la ea în 2002, când a fost fondată compania și o îmbunătățim de atunci. Multe dintre componentele pe care le-am adăugat KB în zilele noastre nu mai sunt disponibile publicului, ceea ce face KB-ul nostru unic în capacitatea sa de a urmări aceste componente. Monitorizăm zilnic aproximativ 8.500 de site-uri diferite pentru noi versiuni de software open source. Actualizăm informațiile componente de două ori pe zi și le actualizăm date de vulnerabilitate la fiecare oră.

Cu un an în urmă am înființat Centrul de Cercetare Sursă Deschisă & Inovare (COSRI). Scopul este de a oferi cercetare, inovație, informații și educație de ultimă oră pentru a vă asigura că ecosistemul open source rămâne vibrant și sigur.

COSRI există mai multe componente. În afară de Black Duck KnowledgeBase, există un grup care se concentrează pe învățarea mașinii și alte tehnici avansate pentru a identifica mai granular elementele codului sursă. Există, de asemenea, Black Duck Open Hub, care este o comunitate online și un director public de software gratuit și open source pentru descoperirea, evaluarea, urmărirea și compararea codului și a proiectelor open source. Open Hub are 350.000 de utilizatori înregistrați și poate fi modificat de toată lumea, similar cu un wiki.

Care sunt integrările DevOps pe care le oferiți?

Considerăm că cel mai bine este să integrăm scanarea codului sursă de către Hub în procesul de construire a unui proiect. Pentru a permite acest lucru, am dezvoltat integrări în instrumente populare pentru toate etapele procesului de construire. Oferim toate aceste integrări gratuit clienților noștri și le-am făcut pe cele mai multe disponibile ca software open source.

integrări de rață neagră

Oferiți mai multe tipuri de audituri de cod - care sunt acestea? Care au fost cele mai mari surprize pe care le-ați găsit în aceste audituri?

Acestea sunt audituri unice pe care le numim „Black Duck on Demand”. Acestea sunt de obicei solicitate de o companie în timpul procesului de diligență cuvenită și cuprind unul sau mai multe dintre următoarele tipuri de audit:

  • Auditul sursă deschisă
  • Auditul de securitate open source
  • Analiza calității codului
  • Auditul de criptare

Cea mai mare surpriză pentru mine din perspectiva securității este că 2/3 din toate aplicațiile care folosesc software open source conțineau vulnerabilități în acel software. În medie, am găsit 27 de vulnerabilități pe aplicație. Poate și mai șocant este că vârsta medie a vulnerabilității - perioada de la dezvăluirea vulnerabilității până la audit - a fost mai mare de 4 ani! Unele au avut chiar 9-12 ani.

audituri de rață neagră

Cum vă definiți piața? Cine este publicul dvs. țintă specific pe piața respectivă?

Pentru produsul nostru Hub, în ​​mod normal, lucrăm cu CTO-ul companiei (Chief Technology Officer) sau CSO (Chief Security Officer) pentru aspectele de securitate și cu un avocat intern al unei companii cu privire la problemele de licențiere..

Pentru serviciile noastre de audit, de obicei lucrăm cu firme de capital de risc sau companii care achiziționează alte companii sau active software.

Câți clienți activi aveți astăzi? Unde sunt localizate în principal?

Avem acum mai mult de 2.000 de clienți, în special centrați în SUA. De asemenea, avem o prezență puternică în Europa, Orientul Mijlociu și Asia Pacific.

Cum ai descrie clientul tău curent?

Variază. Avem mulți clienți care sunt ISV-uri (furnizori de software independenți) care construiesc produse software comerciale. Avem, de asemenea, mulți clienți ai întreprinderii care scriu o mulțime de software pentru uz propriu, de ex. servicii financiare, companii de asigurări și companii de tehnologie.

Cine sunt unii dintre cei mai mari clienți ai tăi?

Suntem mândri să spunem că lista noastră de clienți include unele dintre cele mai mari companii din lume:

  • Intel
  • JPMorgan Chase
  • Nintendo
  • Samsung
  • SAP
  • ScienceLogic

Pe cine vedeți drept principalii dvs. concurenți? Cum ești diferit?

În ultimii ani, am văzut câteva companii noi care încearcă să abordeze această problemă analizând ce componente software sunt declarate în procesul de construire (numai).

Aducem o abordare în trei direcții pentru identificarea componentelor sursă deschisă și a vulnerabilităților potențiale:

  1. Declarații ale managerului de pachete
  2. Ce componente sunt de fapt utilizate
  3. Dependențe tranzitorii

Aveți un punct de vedere unic pentru a vizualiza comunitatea generală open source. Ce schimbări și tendințe vedeți în ceea ce privește companiile care folosesc software open source?

Se observă o creștere semnificativă a numărului de companii care folosesc software open source. Ceea ce poate este puțin surprinzător este faptul că vedem din ce în ce mai multe companii care contribuie cu software în comunitatea open source. Acest lucru este foarte important, deoarece asigură o comunitate puternică și oferă atât creștere, cât și sprijin.

Pentru a vă pune numerele pentru dvs., permiteți-mi să vă fac o idee despre câte proiecte open source am urmărit în ultimii ani:

2013 1 milion
2015 1.5 milioane
2017 2.5 milioane

Ați observat ceva în special despre startup-uri și software open source?

Văd o mulțime de startup-uri prin auditurile pe care le efectuăm. Startup-urile folosesc astăzi software open source pentru a construi cât mai mult de jumătate din produsul lor. Acest lucru le permite să ajungă pe piață mai rapid și să reducă și costurile de dezvoltare. Combinația de economie de viteză și costuri este o motivație puternică pentru a utiliza software open source.

Cum vedeți evoluția software-ului de securitate și open source în următorii ani?

Există o conștientizare din ce în ce mai mare a ambelor elemente și atrag foarte mult atenția. Nu sunt doar vulnerabilitățile care atrag atenția, dar soluțiile înregistrează o creștere bună. Companiile iau din ce în ce mai multe acțiuni pentru a rezolva problemele, mai degrabă decât să raporteze probleme.

Care sunt planurile tale de viitor pentru Black Duck?

Black Duck va continua să se străduiască să fie lider în managementul și securitatea surselor deschise. Acest lucru depășește simpla identificare a componentelor open source. Acesta include ajutarea clienților să se asigure că utilizează codul sursă deschisă care răspunde nevoilor lor de afaceri, precum și apetitul pentru risc (de exemplu, zero vulnerabilități nu este neapărat obiectivul pentru fiecare aplicație).

Câți angajați ai azi? Unde sunt localizate?

Black Duck are peste 300 de angajați. Majoritatea sunt situate în sediul nostru din Burlington, MA. Biroul nostru din Belfast, Marea Britanie este al doilea cel mai mare birou al nostru, urmat îndeaproape de birouri din Theale, Marea Britanie și San Jose, CA. În plus, avem birouri în China, Taiwan și în mai multe locații din Europa.

Cum a apărut numele companiei Black Duck?

Aceasta este întrebarea pe care am primit-o cel mai des ... [râde]. Black Duck a fost numit după animalul de companie al fondatorului din copilărie.

Software Black Duck - Gestionarea și securizarea software-ului Open Source

 

Ce îți place să faci când nu lucrezi?

Pasiunile mele sunt pescuitul, ciclismul și prelucrarea lemnului.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me