Black Duck Software – การจัดการและการรักษาความปลอดภัยซอฟต์แวร์โอเพนซอร์ซของคุณ
มันไม่มีความลับว่าการใช้ส่วนประกอบซอฟต์แวร์โอเพนซอร์สกำลังเติบโตอย่างรวดเร็ว สิ่งนี้เป็นจริงสำหรับทั้ง บริษัท ที่เพิ่งเริ่มธุรกิจเล็ก ๆ รวมถึงนักพัฒนาองค์กรที่จัดตั้งขึ้น นักพัฒนาที่รวมส่วนประกอบโอเพนซอร์ซเหล่านี้จำเป็นต้องอยู่ด้านบนของปัญหาการออกใบอนุญาตจำนวนมากและความเสี่ยงด้านความปลอดภัยของส่วนประกอบเหล่านี้ เป็นเวลากว่า 10 ปีแล้วที่ Black Duck Software ได้ช่วยนักพัฒนารับมือกับความท้าทายเหล่านี้และได้รวบรวมฐานข้อมูลโอเพ่นซอร์สที่ใหญ่ที่สุดในอุตสาหกรรม.
ในการสนทนากับ Mike Pittenger รองประธานฝ่ายกลยุทธ์ความปลอดภัยของ Black Duck Software เราได้พูดคุยกับ Black Duck KnowledgeBase และผลิตภัณฑ์ Hub ของพวกเขาที่ใช้ประโยชน์จากข้อมูลทั้งหมด นอกจากนี้เรายังตรวจสอบการค้นพบที่น่าประหลาดใจที่สุดที่เกิดขึ้นระหว่างการตรวจสอบรหัสเป็ดดำรวมถึงแนวโน้มที่ไมค์เห็นจากจุดชมวิวที่เป็นเอกลักษณ์ของเขาในชุมชนโอเพ่นซอร์ส.
โปรดเล่าเกี่ยวกับตัวคุณและภูมิหลังของคุณให้ฉันฟังหน่อย.
ฉันอยู่ในอุตสาหกรรมความปลอดภัยเป็นเวลา 17 ปีทำงานที่ บริษัท ต่างๆเช่น Authentica และ @stake (ซื้อโดย Symantec) ฉันยังเป็นผู้ร่วมก่อตั้ง Veracode และเป็นผู้นำทีมจาก @stake ในปี 2009 ฉันเริ่มต้น บริษัท ที่ปรึกษาด้านการตลาดในพื้นที่รักษาความปลอดภัย แบล็กดั๊กเป็นลูกค้าของฉันและบางครั้งพวกเขาก็เสนอให้ฉันเข้าร่วมเต็มเวลา บริษัท มีผลิตภัณฑ์ที่ยอดเยี่ยมและทีมผู้บริหารที่ยอดเยี่ยมดังนั้นฉันจึงตอบตกลงและเข้าร่วมเป็นพนักงานในเดือนมีนาคม 2558.
ตามที่ฉันเข้าใจแล้วจุดเน้นของ บริษัท และการนำเสนอผลิตภัณฑ์มีการพัฒนามาหลายปี คุณช่วยเล่าเรื่องประวัติศาสตร์ของ บริษัท ให้ฉันฟังก่อนที่เราจะดำลงไปในรายละเอียดเฉพาะของข้อเสนอ?
แบล็กดั๊กซอฟท์แวร์ก่อตั้งขึ้นในปี 2546 และในอีกสิบปีข้างหน้า บริษัท ได้มุ่งเน้นไปที่โซลูชั่นสำหรับการปฏิบัติตามกฎระเบียบและการกำกับดูแลลิขสิทธิ์แบบโอเพ่นซอร์ส ในไม่ช้ามันก็กลายเป็นผู้นำในพื้นที่และถูกนำไปใช้อย่างรวดเร็วโดย บริษัท ขนาดใหญ่โดยเฉพาะอย่างยิ่งเมื่อพวกเขาทำการตรวจสอบสถานะก่อนที่จะซื้อ บริษัท ซอฟต์แวร์อื่น.
เริ่มต้นในปี 2556 แบล็กดั๊กเปลี่ยนโฟกัสหลักไปที่การจัดการความเสี่ยงด้านความปลอดภัยโอเพนซอร์ซและในปี 2558 เราเปิดตัวผลิตภัณฑ์เรือธงของเราฮับดั๊กดำ.
อะไรคือฮับเป็ดดำ?
Black Duck Hub เป็นเครื่องมือจัดการโอเพ่นซอร์สที่สมบูรณ์ ที่แกนกลางของมันจะสแกนซอร์สโค้ดของโครงการเพื่อค้นหาส่วนประกอบโอเพนซอร์สทั้งหมด จากนั้นจะค้นหาช่องโหว่ที่เกี่ยวข้องใน KnowledgeBase โอเพ่นซอร์สของเรา Black Duck Knowledgebase เป็นฐานข้อมูลโอเพ่นซอร์สที่ครอบคลุมมากที่สุดในอุตสาหกรรม ขณะนี้เราติดตามโครงการที่ไม่ซ้ำกันกว่า 2.5 ล้านโครงการด้วยข้อมูลที่รวบรวมในช่วง 10 ปีที่ผ่านมารวมถึงความครอบคลุมของ:
- ช่องโหว่
- ข้อความสิทธิ์ใช้งานแบบเต็มและภาระผูกพัน
- กิจกรรมชุมชน
เราพบว่าแอปพลิเคชันซอฟต์แวร์โดยเฉลี่ยในปัจจุบันมีรหัสโอเพ่นซอร์สประมาณ 35% ซึ่งแมปไปยังส่วนประกอบโอเพ่นซอร์สที่ไม่ซ้ำกันประมาณ 150 รายการ ตัวเลขเหล่านี้กำลังเพิ่มขึ้นอย่างรวดเร็ว.
ทุกปีมีรายงานช่องโหว่โอเพนซอร์สมากกว่า 3,000 รายการ การทดสอบซอฟต์แวร์แบบดั้งเดิมและเครื่องมือทดสอบความปลอดภัยอัตโนมัติไม่มีประสิทธิภาพในการค้นหาช่องโหว่เหล่านี้.
เราอธิบายความเสี่ยงที่เราดำเนินการดังต่อไปนี้:
- ความเสี่ยงด้านความปลอดภัย – ให้ข้อมูลเกี่ยวกับช่องโหว่ที่รายงานในองค์ประกอบโอเพ่นซอร์ส ข้อมูลนี้มาจากแหล่งข้อมูลสาธารณะเช่น NIST (สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ) ฐานข้อมูลช่องโหว่แห่งชาติรวมถึงแหล่งข้อมูลอื่นอีกหลายสิบแห่งที่ Black Duck ตรวจสอบ.
- ความเสี่ยงด้านลิขสิทธิ์ – สิ่งนี้ให้ข้อมูลลูกค้าเกี่ยวกับใบอนุญาตโอเพนซอร์ซในซอฟต์แวร์ที่ไม่เหมาะสมสำหรับรูปแบบการปรับใช้สำหรับแอปพลิเคชันเฉพาะ (เช่นแอปพลิเคชันซอฟต์แวร์แบบกระจายโดยใช้ใบอนุญาต GPL).
- ความเสี่ยงด้านปฏิบัติการ – ตัวชี้วัดเกี่ยวกับการสนับสนุนโครงการโอเพ่นซอร์สที่ดีเพียงใด – จำนวนผู้มีส่วนร่วมจำนวนการกระทำในปีที่ผ่านมาไม่ว่าจะมีรุ่นใหม่กว่าหรือไม่ก็ตาม เป้าหมายคือช่วยให้ลูกค้าหลีกเลี่ยงการใช้โอเพ่นซอร์สที่ชุมชนหมดอายุการใช้งานอย่างมีประสิทธิภาพ.
ดูเหมือนว่าทุกอย่างขึ้นอยู่กับฐานความรู้ของคุณ – ถูกต้องหรือไม่ มันเริ่มต้นอย่างไรและมีการบำรุงรักษาอย่างไร?
ใช่ฐานความรู้ของ Duck Black ในหัวใจของ Hub และเรามี 50 คนกำลังทำงานอยู่ เราเริ่มทำงานกับมันในปี 2545 เมื่อ บริษัท ได้ก่อตั้งขึ้นและได้ปรับปรุงมันนับตั้งแต่นั้นมา ส่วนประกอบจำนวนมากที่เราเพิ่มลงใน KB ในช่วงแรกของเราไม่สามารถใช้งานได้อีกต่อไปทำให้ KB ของเราไม่เหมือนใครในความสามารถในการติดตามส่วนประกอบเหล่านี้ เราตรวจสอบไซต์ต่าง ๆ ประมาณ 8,500 ไซต์ในแต่ละวันสำหรับซอฟต์แวร์โอเพนซอร์สใหม่ เราอัปเดตข้อมูลส่วนประกอบวันละสองครั้งและเราอัปเดต ข้อมูลความเสี่ยงทุกชั่วโมง.
ปีที่แล้วเราได้จัดตั้งศูนย์วิจัยโอเพ่นซอร์ส & นวัตกรรม (COSRI) เป้าหมายคือเพื่อให้การวิจัยที่ล้ำสมัยนวัตกรรมข้อมูลและการศึกษาเพื่อช่วยให้แน่ใจว่าระบบนิเวศโอเพนซอร์สยังคงสดใสและปลอดภัย.
มีองค์ประกอบหลายอย่างสำหรับ COSRI นอกเหนือจากฐานความรู้เป็ดดำแล้วยังมีกลุ่มที่เน้นการเรียนรู้ของเครื่องและเทคนิคขั้นสูงอื่น ๆ เพื่อระบุองค์ประกอบซอร์สโค้ดอย่างละเอียดยิ่งขึ้น นอกจากนี้ยังมี Black Duck Open Hub ซึ่งเป็นชุมชนออนไลน์และไดเรกทอรีสาธารณะของซอฟต์แวร์โอเพนซอร์สและฟรีสำหรับการค้นหาประเมินติดตามและเปรียบเทียบรหัสต้นฉบับและโครงการโอเพ่นซอร์ส Open Hub มีผู้ใช้ที่ลงทะเบียนแล้ว 350,000 คนและทุกคนสามารถแก้ไขได้คล้ายกับวิกิ.
อะไรคือการรวมกันของ DevOps ที่คุณเสนอ?
เราเชื่อว่าเป็นการดีที่สุดที่จะรวมการสแกนซอร์สโค้ดของฮับเข้ากับกระบวนการสร้างของโครงการ เพื่อเปิดใช้งานนั้นเราได้พัฒนาการผสานรวมในเครื่องมือยอดนิยมสำหรับทุกขั้นตอนของกระบวนการสร้าง เรานำเสนอการผสานรวมทั้งหมดนี้ฟรีให้กับลูกค้าของเราและทำให้ส่วนใหญ่ของพวกเขาพร้อมใช้งานเป็นซอฟต์แวร์โอเพ่นซอร์ส.
คุณเสนอการตรวจสอบรหัสหลายประเภท – พวกเขาคืออะไร สิ่งที่น่าประหลาดใจที่สุดที่คุณพบในการตรวจสอบเหล่านี้คืออะไร?
สิ่งเหล่านี้คือการตรวจสอบแบบครั้งเดียวที่เราเรียกว่า“ Black Duck on Demand” โดยทั่วไปแล้ว บริษัท เหล่านี้จะถูกร้องขอในระหว่างกระบวนการตรวจสอบสถานะที่ครบกำหนดและประกอบด้วยประเภทการตรวจสอบอย่างน้อยหนึ่งประเภทต่อไปนี้:
- การตรวจสอบที่มาเปิด
- การตรวจสอบความปลอดภัยของโอเพ่นซอร์ส
- การวิเคราะห์คุณภาพรหัส
- ตรวจสอบการเข้ารหัส
ความประหลาดใจที่ยิ่งใหญ่ที่สุดสำหรับฉันจากมุมมองด้านความปลอดภัยคือ 2/3 ของแอปพลิเคชันทั้งหมดที่ใช้ซอฟต์แวร์โอเพนซอร์ซมีช่องโหว่ในซอฟต์แวร์นั้น โดยเฉลี่ยเราพบช่องโหว่ 27 รายการต่อแอปพลิเคชัน ที่น่าตกใจยิ่งกว่านั้นคืออายุเฉลี่ยของช่องโหว่ – เวลาจากการเปิดเผยช่องโหว่ต่อการตรวจสอบ – มากกว่า 4 ปี! บางคนถึงกับ 9-12 ปี.
คุณกำหนดตลาดของคุณอย่างไร ใครคือกลุ่มเป้าหมายเฉพาะของคุณในตลาดนั้น?
สำหรับผลิตภัณฑ์ Hub ของเราเรามักจะทำงานร่วมกับ CTO ของ บริษัท (หัวหน้าเจ้าหน้าที่เทคโนโลยี) หรือ CSO (หัวหน้าเจ้าหน้าที่รักษาความปลอดภัย) ในด้านความปลอดภัยและกับที่ปรึกษาของ บริษัท เกี่ยวกับปัญหาการออกใบอนุญาต.
สำหรับบริการตรวจสอบของเราเรามักจะทำงานกับ บริษัท ร่วมทุนหรือ บริษัท ที่รับ บริษัท อื่นหรือสินทรัพย์ซอฟต์แวร์.
วันนี้คุณมีลูกค้าที่ใช้งานอยู่กี่คน พวกเขาอยู่ที่ไหนส่วนใหญ่?
ขณะนี้เรามีลูกค้ามากกว่า 2,000 รายโดยมีศูนย์กลางที่สหรัฐอเมริกาเป็นหลัก นอกจากนี้เรายังมีสถานะที่แข็งแกร่งในยุโรปตะวันออกกลางและเอเชียแปซิฟิก.
คุณจะอธิบายลูกค้าทั่วไปของคุณในปัจจุบันอย่างไร?
มันแตกต่างกันไป เรามีลูกค้ามากมายที่เป็น ISV (ผู้จำหน่ายซอฟต์แวร์อิสระ) สร้างผลิตภัณฑ์ซอฟต์แวร์เชิงพาณิชย์ เรายังมีลูกค้าองค์กรจำนวนมากที่กำลังเขียนซอฟต์แวร์จำนวนมากเพื่อการใช้งานของตนเองเช่น บริการทางการเงิน บริษัท ประกันภัยและ บริษัท เทคโนโลยี.
ใครคือลูกค้าที่ใหญ่ที่สุดของคุณ?
เราภูมิใจที่จะกล่าวว่ารายชื่อลูกค้าของเรารวมถึง บริษัท ที่ใหญ่ที่สุดของโลกบางแห่ง:
- อินเทล
- เจพีมอร์แกนเชส
- นินเทน
- ซัมซุง
- SAP
- ScienceLogic
คุณเห็นว่าใครเป็นคู่แข่งหลักของคุณ คุณเป็นอย่างไรบ้าง?
ในช่วงไม่กี่ปีที่ผ่านมาเราได้เห็น บริษัท ใหม่หลายแห่งพยายามแก้ไขปัญหานี้โดยดูว่ามีการประกาศส่วนประกอบซอฟต์แวร์ใดในกระบวนการสร้าง (เท่านั้น).
เราใช้วิธีสามง่ามเพื่อระบุส่วนประกอบโอเพนซอร์ซและช่องโหว่ที่อาจเกิดขึ้น:
- การประกาศของผู้จัดการแพ็คเกจ
- ส่วนประกอบใดบ้างที่ใช้งานจริง
- สกรรมกริยาอ้างอิง
คุณมีจุดได้เปรียบเฉพาะในการดูชุมชนโอเพ่นซอร์สโดยรวม คุณเห็นการเปลี่ยนแปลงและแนวโน้มอะไรบ้างในแง่ของ บริษัท ที่ใช้ซอฟต์แวร์โอเพ่นซอร์ส?
เราเห็นการเพิ่มขึ้นอย่างมากในจำนวน บริษัท ที่ใช้ซอฟต์แวร์โอเพ่นซอร์ส สิ่งที่น่าแปลกใจเล็กน้อยคือเราเห็น บริษัท จำนวนมากที่ให้ซอฟต์แวร์กลับคืนสู่ชุมชนโอเพ่นซอร์ส สิ่งนี้สำคัญมากเพราะช่วยให้มั่นใจว่าชุมชนเข้มแข็งและให้การเติบโตและการสนับสนุน.
เพื่อที่จะนำตัวเลขมาให้คุณผมขอเสนอแนวคิดจำนวนโครงการโอเพนซอร์สที่เราติดตามในช่วงไม่กี่ปีที่ผ่านมา:
2013 | 1 ล้าน |
2015 | 1.5 ล้าน |
2023 | 2.5 ล้าน |
คุณสังเกตเห็นอะไรเป็นพิเศษเกี่ยวกับ startups และซอฟต์แวร์โอเพ่นซอร์ส?
ฉันเห็นสตาร์ทอัพจำนวนมากผ่านการตรวจสอบที่เราดำเนินการ Startups วันนี้กำลังใช้ซอฟต์แวร์โอเพ่นซอร์สเพื่อสร้างผลิตภัณฑ์ได้มากถึงครึ่งหนึ่ง สิ่งนี้ทำให้พวกเขาสามารถทำการตลาดได้เร็วขึ้นและลดต้นทุนการพัฒนา การผสมผสานระหว่างความเร็วและการประหยัดต้นทุนเป็นแรงจูงใจที่แข็งแกร่งในการใช้ซอฟต์แวร์โอเพ่นซอร์ส.
คุณเห็นการรักษาความปลอดภัยและซอฟต์แวร์โอเพ่นซอร์สที่กำลังพัฒนาในอีกไม่กี่ปีข้างหน้า?
มีความตระหนักเพิ่มขึ้นขององค์ประกอบเหล่านี้และพวกเขากำลังดึงดูดความสนใจมาก ไม่ใช่เพียงแค่ช่องโหว่ที่กำลังได้รับความสนใจ แต่โซลูชั่นยังเห็นการเติบโตที่ดี บริษัท ต่าง ๆ กำลังดำเนินการเพื่อแก้ไขปัญหามากกว่าการรายงานปัญหา.
แผนการในอนาคตของคุณสำหรับ Black Duck คืออะไร?
แบล็กดั๊กจะยังคงมุ่งมั่นที่จะเป็นผู้นำในการจัดการและความปลอดภัยแบบโอเพ่นซอร์ส สิ่งนี้นอกเหนือไปจากการระบุส่วนประกอบโอเพนซอร์ส ซึ่งรวมถึงการช่วยให้ลูกค้ามั่นใจได้ว่าพวกเขากำลังใช้รหัสโอเพนซอร์สที่ตรงกับความต้องการทางธุรกิจรวมถึงความต้องการความเสี่ยง (เช่นไม่มีศูนย์ช่องโหว่ไม่จำเป็นต้องเป็นเป้าหมายสำหรับทุกแอปพลิเคชัน).
วันนี้คุณมีพนักงานกี่คน พวกเขาอยู่ที่ไหน?
Black Duck มีพนักงานมากกว่า 300 คน ส่วนใหญ่ตั้งอยู่ที่สำนักงานใหญ่ในเบอร์ลิงตันรัฐแมสซาชูเซตส์ของเรา สำนักงานของเราในเบลฟัสต์สหราชอาณาจักรเป็นสำนักงานใหญ่อันดับสองของเรารองลงมาคือสำนักงานใน Theale, UK และ San Jose, CA นอกจากนี้เรายังมีสำนักงานในจีนไต้หวันและอีกหลายแห่งในยุโรป.
ชื่อ บริษัท แบล็กดั๊กเกิดขึ้นได้อย่างไร?
นั่นคือคำถามที่เราถามบ่อยที่สุด … [หัวเราะ] Black Duck ได้รับการตั้งชื่อตามสัตว์เลี้ยงในวัยเด็กของผู้ก่อตั้ง.
คุณชอบทำอะไรเมื่อไม่ได้ทำงาน?
งานอดิเรกของฉันคือตกปลาขี่จักรยานและงานไม้.