Zaščitite svoje odprtokodne komponente z WhiteSource
Kako se je WhiteSource združil?
WhiteSource so ustanovili trije soustanovitelji, ki so se poznali iz prejšnjega podjetja, ki ga je pridobila velika korporacija leta 2009. Takrat smo morali zagotoviti račune za vse odprtokodne komponente, ki smo jih uporabljali v naši programski opremi . Tega računa nismo imeli, zato smo bili prisiljeni iti ven in poiskati vse te komponente, njihove odvisnosti in podzavisnosti, licenco in rodovnik. Tako smo ustvarili globok pregled vsega, kar smo uporabili za dokončanje transakcije.
S slepo srečo smo imeli srečo, da v naši programski opremi nismo našli tveganih komponent. Vendar se nam je zgodilo, da gre za tvegan in nepotrebno dolgotrajen proces, čeprav nismo počeli ničesar, kar ni običajna praksa.
Vsaka komercialna programska oprema, ki se razvija, ima v njej odprtokodno programsko opremo, ki je ne spremljamo skrbno. To je velik razkorak na trgu in za premostitev te vrzeli smo začeli WhiteSource leta 2011.
Približno tej zamisli o zagotavljanju boljšega nadzora nad tem, kaj odprtokodnega sistema zajema lastniška programska oprema, je podjetje začelo z vsemi običajnimi težavami pri zagonu. Začeli smo v inkubatorju, se preselili na prodajno prodajno predstavitev na trgu izdelkov in nadaljevali postopno rast od zagonske do samooskrbne..
V letu 2016 se je tržna dinamika premaknila in dvignila se je ozaveščenost o varnosti in ranljivosti. Začeli smo dobivati veliko povpraševanja, več kot smo zmogli. V tistem trenutku leta 2023 smo to priložnost prepoznali in začeli krog financiranja. Vodil jo je 83North, ki je zelo ugleden izraelski tvegani kapital z močno prisotnostjo v Silicijevi dolini, Microsoft pa se je pridružil tudi kot strateški vlagatelj. Od takrat naprej rastemo in danes imamo v ZDA več kot 100 zaposlenih in 500 strank; imamo pisarne v New Yorku in Bostonu, večinoma prodajamo v Severni Ameriki, in inženirsko in razvojno ekipo, ki se nahaja tukaj v Izraelu.
Kar je edinstveno pri WhiteSourceu?
Naš izdelek je bil prvi, ki je neprekinjeno, avtomatizirano nadzoroval in spremljal vse odprtokodne komponente, ki jih porabijo inženirji programske opreme in so vgrajeni kot del njihove komercialne programske opreme. To je zelo enostavno uvajanje in je lahko sredstvo. Lahko ga vključite v nekaj minutah v obstoječi cevovod. Podpiramo vsa razvojna okolja in strežnike, tako da bo minilo skoraj nekaj minut, preden lahko začnete videti poročila in rezultate o odprtokodnih komponentah, ki jih uporabljate in ki so ranljive.
Imamo obsežno pokritost več kot 200 programskih jezikov, okvirov in okolij, kar je danes najširše na trgu. Svet delimo na programske jezike, ki distribuirajo open-source v binarni obliki in formatu razvrščanja, obe vrsti pa obsežno in natančno pokrivamo.
Imamo zelo natančen sistem. Lahko prepoznamo vse odprtokodne datoteke, ki spadajo v vašo komercialno programsko opremo in se ujemajo z ranljivimi datotekami. Oboje ni nepomembno opravilo in razvili smo avtomatiziran sistem, s katerim bomo lahko uskladili in izboljšali ta postopek, da bo naš sistem zelo natančen. Ko rečemo, da imate ranljivost, zagotovo imate ranljivost, ker:
- Ne pogrešamo komponent in ranljivosti.
- Ne poplavljamo vas z lažnimi rezultati.
Trenutno začenjamo analizo sestave programske opreme tretje generacije, trg spremljanja in upravljanja odprtokodnih virov. V svoji lastniški kodi lahko prepozna, kje in kako kličete komponente odprtega izvora, in nato identificira klice v svoji lastniški kodi, ki na koncu povzročijo ranljive odprtokodne vire. To vam omogoča, da določite prednost ranljivosti, s katerimi želite najprej odpraviti, glede na to, ali ranljive komponente resnično neposredno vplivajo na vaš izdelek. Natančno vam povemo, kateri ranljivi odprtokodni sestavni deli imajo ustrezen vpliv na vašo programsko opremo. Temu pravimo Analiza učinkovite uporabe. Analiziramo dele odprtokodnega vira, ki vplivajo na vašo kodo, nato pa jim pomagamo, da jih sledimo do vrstice kode in s tem olajšamo delo okoli odprtokodne ranljivosti. Izšla bo septembra, v beta različici pa deluje že dva meseca in dobiva fantastične povratne informacije; je naslednji velik korak na tem področju.
Kakšna je težava z varnostjo odprte kode v nasprotju z lastniško kodo?
Open source ni bolj ranljiv, je ranljiv na drugačen način. Ko pišete napake svojo kodo, ki vodi k ranljivosti, ste edini, ki to ve. Običajno jih ne objavijo. Imate nadzor nad svojo kodo in jo lahko popravite neposredno in ste ji odgovorni. Na odprtokodni strani bo skoraj vedno ranljivost javno znana, preden boste o njej vedeli, zagotovo je ne boste mogli rešiti sami. Za uveljavitev popravkov in popravkov se morate zanesti na skupnost odprtega izvora in jih izvajati tako, kot vas poučujejo.
To sta dve različni vrsti ranljivosti, ki zahtevata različne nabora orodij. Odpornosti odprtokodnih programov so veliko bolj vidne in dobijo več pozornosti s strani hekerjev, ker se o njih lahko naučijo iz javno dostopnih zunanjih virov in jih poskusijo izkoristiti.
Kako vidite prihodnost Open Source?
Danes je open-source že večina klicev v komercialnih aplikacijah in le manjšinski delež je lastniška koda. V naslednjih nekaj letih bodo ekipe inženirjev programske opreme uporabile orodja za nadzorovanje uporabe odprtokodnega vira, preden napišejo vrstico kode, enako kot zdaj za lastniško kodo. Na voljo bodo različni strežniki in sistemi. V petih letih bo enaka stopnja nadzora in pozornosti, ki jo bomo dali lastniški kodi, odprta koda.
Moses
17.04.2023 @ 21:43
potencialno največjo grožnjo za vašo programsko opremo, tako da lahko hitro in učinkovito ukrepate. To je edinstvena funkcija, ki jo ponuja WhiteSource in ki nam omogoča, da se razlikujemo od drugih ponudnikov na trgu.
Kakšna je težava z varnostjo odprte kode v nasprotju z lastniško kodo?
Težava z varnostjo odprte kode je v tem, da je odprta koda na voljo vsem, tudi napadalcem, ki lahko najdejo ranljivosti in jih izkoristijo za napade. Poleg tega se odprta koda pogosto uporablja v komercialni programski opremi, vendar se ne spremlja vedno skrbno, kar lahko povzroči varnostne težave. Lastniška koda je običajno bolj zaprta in nadzorovana, vendar lahko tudi v njej obstajajo varnostne težave, ki jih je treba skrbno spremljati.
Kako vidite prihodnost Open Source?
Verjamemo, da bo Open Source še naprej igral pomembno vlogo v svetu programske opreme. Odprta koda omogoča hitrejši razvoj in inovacije, saj lahko razvijalci uporabljajo obstoječe komponente in jih prilagodijo svojim potrebam. Poleg tega odprta koda spodbuja skupnost in sodelovanje, kar lahko privede do boljših rešitev in izboljšav. Vendar pa je treba odprto kodo skrbno spremljati in zagotoviti varnostne ukrepe, da se preprečijo morebitne težave.