Защитите свои компоненты с открытым исходным кодом с WhiteSource


Как WhiteSource собрались вместе?

WhiteSource был основан тремя соучредителями, которые знали друг друга по предыдущей компании, которая была приобретена крупной корпорацией в 2009 году. В то время мы были обязаны предоставлять учетные записи для всех компонентов с открытым исходным кодом, которые мы использовали в нашем программном обеспечении. , У нас не было этой учетной записи, поэтому мы были вынуждены выйти и найти все эти компоненты, их зависимости и суб-зависимости, лицензирование и родословную. Таким образом, мы создали глубокий обзор всего, что мы использовали для завершения транзакции.

По счастливой случайности нам не повезло найти в нашем программном обеспечении никаких рискованных компонентов. Однако нам пришло в голову, что это был рискованный и излишне длительный процесс, хотя мы не делали ничего, что не было обычной практикой..

Каждое разрабатываемое коммерческое программное обеспечение имеет открытый исходный код, который не подвергается тщательному мониторингу. Это большой разрыв на рынке, и для его преодоления мы создали WhiteSource в 2011 году..

Вокруг этого понятия о предоставлении лучшего контроля над тем, что с открытым исходным кодом входит в проприетарное программное обеспечение, компания начала со всех обычных проблем запуска. Мы начали в инкубаторе, перешли к продажам основного продукта и продолжали постепенно расти от самозагрузки до самодостаточности..

В течение 2016 года динамика рынка изменилась, и возросла осведомленность о безопасности и уязвимости. Мы начали получать большой спрос, больше, чем мы могли справиться. На тот момент в 2017 году мы определили эту возможность и начали раунд финансирования. Его возглавлял 83North, который является очень известным израильским венчурным капиталом с сильным присутствием в Силиконовой долине, и Microsoft также присоединилась в качестве стратегического инвестора. С тех пор мы продолжали расти, и сегодня, имея более 100 сотрудников и 500 клиентов, мы широко представлены в США; У нас есть офисы в Нью-Йорке и Бостоне, в основном занимающиеся продажами в Северной Америке, и команда инженеров и разработчиков, которая находится здесь, в Израиле..

Что уникального в WhiteSource?

Наш продукт был первым в мире, обеспечивающим непрерывное автоматизированное управление и мониторинг всех компонентов с открытым исходным кодом, используемых разработчиками программного обеспечения и встроенных в их коммерческое программное обеспечение. Он очень прост в развертывании и является легковесным агентом. Вы можете интегрировать его в считанные минуты в существующий конвейер. Мы поддерживаем все среды разработки и серверы, поэтому буквально за несколько минут вы можете увидеть отчеты и результаты о компонентах с открытым исходным кодом, которые вы используете и которые уязвимы.

У нас есть обширный охват более 200 языков программирования, каркасов и сред, который является самым широким из доступных на рынке сегодня. Мы делим мир на языки программирования, которые распространяют открытый исходный код в двоичном формате и в формате сортировки, и мы охватываем оба типа подробно и точно.

У нас очень точная система. Мы можем определить все файлы с открытым исходным кодом, которые входят в ваше коммерческое программное обеспечение и соответствуют уязвимым файлам. Обе задачи не являются тривиальными, и мы разработали автоматизированную систему для сопоставления и улучшения этого процесса, чтобы сделать нашу систему очень точной. Когда мы говорим, что у вас есть уязвимость, у вас определенно есть уязвимость, потому что:

  1. Мы не пропускаем компоненты и уязвимости.
  2. Мы не заливаем вас ложными срабатываниями.

Мы находимся в процессе запуска нашего анализа состава программного обеспечения третьего поколения, рынка мониторинга и управления с открытым исходным кодом. Он имеет возможность идентифицировать в вашем проприетарном коде, где и как вы совершаете вызовы к компонентам с открытым исходным кодом, а затем идентифицировать вызовы в вашем проприетарном коде, которые в итоге вызывают уязвимость с открытым исходным кодом. Это позволяет вам определять приоритеты уязвимостей, которые вы хотите устранить в первую очередь, в зависимости от того, оказывают ли уязвимые компоненты реальное прямое влияние на ваш продукт. Мы сообщаем вам, какие именно уязвимые компоненты с открытым исходным кодом имеют соответствующее влияние на ваше программное обеспечение. Мы называем это анализом эффективного использования. Мы анализируем части с открытым исходным кодом, которые влияют на ваш код, а затем помогаем отследить их до строки кода, облегчая обход уязвимости с открытым исходным кодом. Он будет выпущен в сентябре и работает в бета-версии в течение двух месяцев и получит фантастическую обратную связь; это следующий большой шаг в этой области.

В чем проблема безопасности с открытым исходным кодом в отличие от проприетарного кода?

Открытый код не более уязвим, он уязвим по-другому. Когда вы пишете ошибки в своем собственном коде, который приводит к уязвимости, вы единственный, кто знает об этом. Они обычно не делают это публично. Вы можете контролировать свой код, и вы можете исправить его напрямую и нести за него ответственность. Со стороны открытого исходного кода, почти всегда уязвимость будет общедоступна, прежде чем вы узнаете об этом, и вы, конечно, не сможете решить ее самостоятельно. Вы должны полагаться на сообщество open-source, чтобы распространять исправления и исправления, и реализовывать их так, как они вас проинструктируют..

Это два разных типа уязвимостей, которые требуют разных наборов инструментов. Уязвимости открытых источников гораздо более заметны и привлекают больше внимания со стороны хакеров, поскольку они могут узнать о них из общедоступных внешних источников и попытаться использовать их.

Каким вы видите будущее Open Source??

На сегодняшний день open source уже является большинством вызовов в коммерческих приложениях, и лишь небольшая доля принадлежит проприетарному коду. В течение следующих нескольких лет команды разработчиков программного обеспечения будут использовать инструменты для управления использованием открытого исходного кода, прежде чем писать строку кода, так же, как они делают это сейчас для проприетарного кода. У них будут различные серверы и системы. Через пять лет тот же уровень контроля и внимания, уделяемый проприетарному коду, будет уделяться коду с открытым исходным кодом..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me