Black Duck Software – การจัดการและการรักษาความปลอดภัยซอฟต์แวร์โอเพนซอร์ซของคุณ


มันไม่มีความลับว่าการใช้ส่วนประกอบซอฟต์แวร์โอเพนซอร์สกำลังเติบโตอย่างรวดเร็ว สิ่งนี้เป็นจริงสำหรับทั้ง บริษัท ที่เพิ่งเริ่มธุรกิจเล็ก ๆ รวมถึงนักพัฒนาองค์กรที่จัดตั้งขึ้น นักพัฒนาที่รวมส่วนประกอบโอเพนซอร์ซเหล่านี้จำเป็นต้องอยู่ด้านบนของปัญหาการออกใบอนุญาตจำนวนมากและความเสี่ยงด้านความปลอดภัยของส่วนประกอบเหล่านี้ เป็นเวลากว่า 10 ปีแล้วที่ Black Duck Software ได้ช่วยนักพัฒนารับมือกับความท้าทายเหล่านี้และได้รวบรวมฐานข้อมูลโอเพ่นซอร์สที่ใหญ่ที่สุดในอุตสาหกรรม.

ในการสนทนากับ Mike Pittenger รองประธานฝ่ายกลยุทธ์ความปลอดภัยของ Black Duck Software เราได้พูดคุยกับ Black Duck KnowledgeBase และผลิตภัณฑ์ Hub ของพวกเขาที่ใช้ประโยชน์จากข้อมูลทั้งหมด นอกจากนี้เรายังตรวจสอบการค้นพบที่น่าประหลาดใจที่สุดที่เกิดขึ้นระหว่างการตรวจสอบรหัสเป็ดดำรวมถึงแนวโน้มที่ไมค์เห็นจากจุดชมวิวที่เป็นเอกลักษณ์ของเขาในชุมชนโอเพ่นซอร์ส.

Contents

โปรดเล่าเกี่ยวกับตัวคุณและภูมิหลังของคุณให้ฉันฟังหน่อย.

ฉันอยู่ในอุตสาหกรรมความปลอดภัยเป็นเวลา 17 ปีทำงานที่ บริษัท ต่างๆเช่น Authentica และ @stake (ซื้อโดย Symantec) ฉันยังเป็นผู้ร่วมก่อตั้ง Veracode และเป็นผู้นำทีมจาก @stake ในปี 2009 ฉันเริ่มต้น บริษัท ที่ปรึกษาด้านการตลาดในพื้นที่รักษาความปลอดภัย แบล็กดั๊กเป็นลูกค้าของฉันและบางครั้งพวกเขาก็เสนอให้ฉันเข้าร่วมเต็มเวลา บริษัท มีผลิตภัณฑ์ที่ยอดเยี่ยมและทีมผู้บริหารที่ยอดเยี่ยมดังนั้นฉันจึงตอบตกลงและเข้าร่วมเป็นพนักงานในเดือนมีนาคม 2558.

ตามที่ฉันเข้าใจแล้วจุดเน้นของ บริษัท และการนำเสนอผลิตภัณฑ์มีการพัฒนามาหลายปี คุณช่วยเล่าเรื่องประวัติศาสตร์ของ บริษัท ให้ฉันฟังก่อนที่เราจะดำลงไปในรายละเอียดเฉพาะของข้อเสนอ?

แบล็กดั๊กซอฟท์แวร์ก่อตั้งขึ้นในปี 2546 และในอีกสิบปีข้างหน้า บริษัท ได้มุ่งเน้นไปที่โซลูชั่นสำหรับการปฏิบัติตามกฎระเบียบและการกำกับดูแลลิขสิทธิ์แบบโอเพ่นซอร์ส ในไม่ช้ามันก็กลายเป็นผู้นำในพื้นที่และถูกนำไปใช้อย่างรวดเร็วโดย บริษัท ขนาดใหญ่โดยเฉพาะอย่างยิ่งเมื่อพวกเขาทำการตรวจสอบสถานะก่อนที่จะซื้อ บริษัท ซอฟต์แวร์อื่น.

เริ่มต้นในปี 2556 แบล็กดั๊กเปลี่ยนโฟกัสหลักไปที่การจัดการความเสี่ยงด้านความปลอดภัยโอเพนซอร์ซและในปี 2558 เราเปิดตัวผลิตภัณฑ์เรือธงของเราฮับดั๊กดำ.

อะไรคือฮับเป็ดดำ?

Black Duck Hub เป็นเครื่องมือจัดการโอเพ่นซอร์สที่สมบูรณ์ ที่แกนกลางของมันจะสแกนซอร์สโค้ดของโครงการเพื่อค้นหาส่วนประกอบโอเพนซอร์สทั้งหมด จากนั้นจะค้นหาช่องโหว่ที่เกี่ยวข้องใน KnowledgeBase โอเพ่นซอร์สของเรา Black Duck Knowledgebase เป็นฐานข้อมูลโอเพ่นซอร์สที่ครอบคลุมมากที่สุดในอุตสาหกรรม ขณะนี้เราติดตามโครงการที่ไม่ซ้ำกันกว่า 2.5 ล้านโครงการด้วยข้อมูลที่รวบรวมในช่วง 10 ปีที่ผ่านมารวมถึงความครอบคลุมของ:

  • ช่องโหว่
  • ข้อความสิทธิ์ใช้งานแบบเต็มและภาระผูกพัน
  • กิจกรรมชุมชน

เราพบว่าแอปพลิเคชันซอฟต์แวร์โดยเฉลี่ยในปัจจุบันมีรหัสโอเพ่นซอร์สประมาณ 35% ซึ่งแมปไปยังส่วนประกอบโอเพ่นซอร์สที่ไม่ซ้ำกันประมาณ 150 รายการ ตัวเลขเหล่านี้กำลังเพิ่มขึ้นอย่างรวดเร็ว.

ทุกปีมีรายงานช่องโหว่โอเพนซอร์สมากกว่า 3,000 รายการ การทดสอบซอฟต์แวร์แบบดั้งเดิมและเครื่องมือทดสอบความปลอดภัยอัตโนมัติไม่มีประสิทธิภาพในการค้นหาช่องโหว่เหล่านี้.

เราอธิบายความเสี่ยงที่เราดำเนินการดังต่อไปนี้:

  • ความเสี่ยงด้านความปลอดภัย - ให้ข้อมูลเกี่ยวกับช่องโหว่ที่รายงานในองค์ประกอบโอเพ่นซอร์ส ข้อมูลนี้มาจากแหล่งข้อมูลสาธารณะเช่น NIST (สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ) ฐานข้อมูลช่องโหว่แห่งชาติรวมถึงแหล่งข้อมูลอื่นอีกหลายสิบแห่งที่ Black Duck ตรวจสอบ.
  • ความเสี่ยงด้านลิขสิทธิ์ - สิ่งนี้ให้ข้อมูลลูกค้าเกี่ยวกับใบอนุญาตโอเพนซอร์ซในซอฟต์แวร์ที่ไม่เหมาะสมสำหรับรูปแบบการปรับใช้สำหรับแอปพลิเคชันเฉพาะ (เช่นแอปพลิเคชันซอฟต์แวร์แบบกระจายโดยใช้ใบอนุญาต GPL).
  • ความเสี่ยงด้านปฏิบัติการ - ตัวชี้วัดเกี่ยวกับการสนับสนุนโครงการโอเพ่นซอร์สที่ดีเพียงใด - จำนวนผู้มีส่วนร่วมจำนวนการกระทำในปีที่ผ่านมาไม่ว่าจะมีรุ่นใหม่กว่าหรือไม่ก็ตาม เป้าหมายคือช่วยให้ลูกค้าหลีกเลี่ยงการใช้โอเพ่นซอร์สที่ชุมชนหมดอายุการใช้งานอย่างมีประสิทธิภาพ.

การใช้ลิขสิทธิ์ของเป็ดดำ

ดูเหมือนว่าทุกอย่างขึ้นอยู่กับฐานความรู้ของคุณ - ถูกต้องหรือไม่ มันเริ่มต้นอย่างไรและมีการบำรุงรักษาอย่างไร?

ใช่ฐานความรู้ของ Duck Black ในหัวใจของ Hub และเรามี 50 คนกำลังทำงานอยู่ เราเริ่มทำงานกับมันในปี 2545 เมื่อ บริษัท ได้ก่อตั้งขึ้นและได้ปรับปรุงมันนับตั้งแต่นั้นมา ส่วนประกอบจำนวนมากที่เราเพิ่มลงใน KB ในช่วงแรกของเราไม่สามารถใช้งานได้อีกต่อไปทำให้ KB ของเราไม่เหมือนใครในความสามารถในการติดตามส่วนประกอบเหล่านี้ เราตรวจสอบไซต์ต่าง ๆ ประมาณ 8,500 ไซต์ในแต่ละวันสำหรับซอฟต์แวร์โอเพนซอร์สใหม่ เราอัปเดตข้อมูลส่วนประกอบวันละสองครั้งและเราอัปเดต ข้อมูลความเสี่ยงทุกชั่วโมง.

ปีที่แล้วเราได้จัดตั้งศูนย์วิจัยโอเพ่นซอร์ส & นวัตกรรม (COSRI) เป้าหมายคือเพื่อให้การวิจัยที่ล้ำสมัยนวัตกรรมข้อมูลและการศึกษาเพื่อช่วยให้แน่ใจว่าระบบนิเวศโอเพนซอร์สยังคงสดใสและปลอดภัย.

มีองค์ประกอบหลายอย่างสำหรับ COSRI นอกเหนือจากฐานความรู้เป็ดดำแล้วยังมีกลุ่มที่เน้นการเรียนรู้ของเครื่องและเทคนิคขั้นสูงอื่น ๆ เพื่อระบุองค์ประกอบซอร์สโค้ดอย่างละเอียดยิ่งขึ้น นอกจากนี้ยังมี Black Duck Open Hub ซึ่งเป็นชุมชนออนไลน์และไดเรกทอรีสาธารณะของซอฟต์แวร์โอเพนซอร์สและฟรีสำหรับการค้นหาประเมินติดตามและเปรียบเทียบรหัสต้นฉบับและโครงการโอเพ่นซอร์ส Open Hub มีผู้ใช้ที่ลงทะเบียนแล้ว 350,000 คนและทุกคนสามารถแก้ไขได้คล้ายกับวิกิ.

อะไรคือการรวมกันของ DevOps ที่คุณเสนอ?

เราเชื่อว่าเป็นการดีที่สุดที่จะรวมการสแกนซอร์สโค้ดของฮับเข้ากับกระบวนการสร้างของโครงการ เพื่อเปิดใช้งานนั้นเราได้พัฒนาการผสานรวมในเครื่องมือยอดนิยมสำหรับทุกขั้นตอนของกระบวนการสร้าง เรานำเสนอการผสานรวมทั้งหมดนี้ฟรีให้กับลูกค้าของเราและทำให้ส่วนใหญ่ของพวกเขาพร้อมใช้งานเป็นซอฟต์แวร์โอเพ่นซอร์ส.

การบูรณาการเป็ดดำ

คุณเสนอการตรวจสอบรหัสหลายประเภท - พวกเขาคืออะไร สิ่งที่น่าประหลาดใจที่สุดที่คุณพบในการตรวจสอบเหล่านี้คืออะไร?

สิ่งเหล่านี้คือการตรวจสอบแบบครั้งเดียวที่เราเรียกว่า“ Black Duck on Demand” โดยทั่วไปแล้ว บริษัท เหล่านี้จะถูกร้องขอในระหว่างกระบวนการตรวจสอบสถานะที่ครบกำหนดและประกอบด้วยประเภทการตรวจสอบอย่างน้อยหนึ่งประเภทต่อไปนี้:

  • การตรวจสอบที่มาเปิด
  • การตรวจสอบความปลอดภัยของโอเพ่นซอร์ส
  • การวิเคราะห์คุณภาพรหัส
  • ตรวจสอบการเข้ารหัส

ความประหลาดใจที่ยิ่งใหญ่ที่สุดสำหรับฉันจากมุมมองด้านความปลอดภัยคือ 2/3 ของแอปพลิเคชันทั้งหมดที่ใช้ซอฟต์แวร์โอเพนซอร์ซมีช่องโหว่ในซอฟต์แวร์นั้น โดยเฉลี่ยเราพบช่องโหว่ 27 รายการต่อแอปพลิเคชัน ที่น่าตกใจยิ่งกว่านั้นคืออายุเฉลี่ยของช่องโหว่ - เวลาจากการเปิดเผยช่องโหว่ต่อการตรวจสอบ - มากกว่า 4 ปี! บางคนถึงกับ 9-12 ปี.

การตรวจสอบเป็ดดำ

คุณกำหนดตลาดของคุณอย่างไร ใครคือกลุ่มเป้าหมายเฉพาะของคุณในตลาดนั้น?

สำหรับผลิตภัณฑ์ Hub ของเราเรามักจะทำงานร่วมกับ CTO ของ บริษัท (หัวหน้าเจ้าหน้าที่เทคโนโลยี) หรือ CSO (หัวหน้าเจ้าหน้าที่รักษาความปลอดภัย) ในด้านความปลอดภัยและกับที่ปรึกษาของ บริษัท เกี่ยวกับปัญหาการออกใบอนุญาต.

สำหรับบริการตรวจสอบของเราเรามักจะทำงานกับ บริษัท ร่วมทุนหรือ บริษัท ที่รับ บริษัท อื่นหรือสินทรัพย์ซอฟต์แวร์.

วันนี้คุณมีลูกค้าที่ใช้งานอยู่กี่คน พวกเขาอยู่ที่ไหนส่วนใหญ่?

ขณะนี้เรามีลูกค้ามากกว่า 2,000 รายโดยมีศูนย์กลางที่สหรัฐอเมริกาเป็นหลัก นอกจากนี้เรายังมีสถานะที่แข็งแกร่งในยุโรปตะวันออกกลางและเอเชียแปซิฟิก.

คุณจะอธิบายลูกค้าทั่วไปของคุณในปัจจุบันอย่างไร?

มันแตกต่างกันไป เรามีลูกค้ามากมายที่เป็น ISV (ผู้จำหน่ายซอฟต์แวร์อิสระ) สร้างผลิตภัณฑ์ซอฟต์แวร์เชิงพาณิชย์ เรายังมีลูกค้าองค์กรจำนวนมากที่กำลังเขียนซอฟต์แวร์จำนวนมากเพื่อการใช้งานของตนเองเช่น บริการทางการเงิน บริษัท ประกันภัยและ บริษัท เทคโนโลยี.

ใครคือลูกค้าที่ใหญ่ที่สุดของคุณ?

เราภูมิใจที่จะกล่าวว่ารายชื่อลูกค้าของเรารวมถึง บริษัท ที่ใหญ่ที่สุดของโลกบางแห่ง:

  • อินเทล
  • เจพีมอร์แกนเชส
  • นินเทน
  • ซัมซุง
  • SAP
  • ScienceLogic

คุณเห็นว่าใครเป็นคู่แข่งหลักของคุณ คุณเป็นอย่างไรบ้าง?

ในช่วงไม่กี่ปีที่ผ่านมาเราได้เห็น บริษัท ใหม่หลายแห่งพยายามแก้ไขปัญหานี้โดยดูว่ามีการประกาศส่วนประกอบซอฟต์แวร์ใดในกระบวนการสร้าง (เท่านั้น).

เราใช้วิธีสามง่ามเพื่อระบุส่วนประกอบโอเพนซอร์ซและช่องโหว่ที่อาจเกิดขึ้น:

  1. การประกาศของผู้จัดการแพ็คเกจ
  2. ส่วนประกอบใดบ้างที่ใช้งานจริง
  3. สกรรมกริยาอ้างอิง

คุณมีจุดได้เปรียบเฉพาะในการดูชุมชนโอเพ่นซอร์สโดยรวม คุณเห็นการเปลี่ยนแปลงและแนวโน้มอะไรบ้างในแง่ของ บริษัท ที่ใช้ซอฟต์แวร์โอเพ่นซอร์ส?

เราเห็นการเพิ่มขึ้นอย่างมากในจำนวน บริษัท ที่ใช้ซอฟต์แวร์โอเพ่นซอร์ส สิ่งที่น่าแปลกใจเล็กน้อยคือเราเห็น บริษัท จำนวนมากที่ให้ซอฟต์แวร์กลับคืนสู่ชุมชนโอเพ่นซอร์ส สิ่งนี้สำคัญมากเพราะช่วยให้มั่นใจว่าชุมชนเข้มแข็งและให้การเติบโตและการสนับสนุน.

เพื่อที่จะนำตัวเลขมาให้คุณผมขอเสนอแนวคิดจำนวนโครงการโอเพนซอร์สที่เราติดตามในช่วงไม่กี่ปีที่ผ่านมา:

2013 1 ล้าน
2015 1.5 ล้าน
2017 2.5 ล้าน

คุณสังเกตเห็นอะไรเป็นพิเศษเกี่ยวกับ startups และซอฟต์แวร์โอเพ่นซอร์ส?

ฉันเห็นสตาร์ทอัพจำนวนมากผ่านการตรวจสอบที่เราดำเนินการ Startups วันนี้กำลังใช้ซอฟต์แวร์โอเพ่นซอร์สเพื่อสร้างผลิตภัณฑ์ได้มากถึงครึ่งหนึ่ง สิ่งนี้ทำให้พวกเขาสามารถทำการตลาดได้เร็วขึ้นและลดต้นทุนการพัฒนา การผสมผสานระหว่างความเร็วและการประหยัดต้นทุนเป็นแรงจูงใจที่แข็งแกร่งในการใช้ซอฟต์แวร์โอเพ่นซอร์ส.

คุณเห็นการรักษาความปลอดภัยและซอฟต์แวร์โอเพ่นซอร์สที่กำลังพัฒนาในอีกไม่กี่ปีข้างหน้า?

มีความตระหนักเพิ่มขึ้นขององค์ประกอบเหล่านี้และพวกเขากำลังดึงดูดความสนใจมาก ไม่ใช่เพียงแค่ช่องโหว่ที่กำลังได้รับความสนใจ แต่โซลูชั่นยังเห็นการเติบโตที่ดี บริษัท ต่าง ๆ กำลังดำเนินการเพื่อแก้ไขปัญหามากกว่าการรายงานปัญหา.

แผนการในอนาคตของคุณสำหรับ Black Duck คืออะไร?

แบล็กดั๊กจะยังคงมุ่งมั่นที่จะเป็นผู้นำในการจัดการและความปลอดภัยแบบโอเพ่นซอร์ส สิ่งนี้นอกเหนือไปจากการระบุส่วนประกอบโอเพนซอร์ส ซึ่งรวมถึงการช่วยให้ลูกค้ามั่นใจได้ว่าพวกเขากำลังใช้รหัสโอเพนซอร์สที่ตรงกับความต้องการทางธุรกิจรวมถึงความต้องการความเสี่ยง (เช่นไม่มีศูนย์ช่องโหว่ไม่จำเป็นต้องเป็นเป้าหมายสำหรับทุกแอปพลิเคชัน).

วันนี้คุณมีพนักงานกี่คน พวกเขาอยู่ที่ไหน?

Black Duck มีพนักงานมากกว่า 300 คน ส่วนใหญ่ตั้งอยู่ที่สำนักงานใหญ่ในเบอร์ลิงตันรัฐแมสซาชูเซตส์ของเรา สำนักงานของเราในเบลฟัสต์สหราชอาณาจักรเป็นสำนักงานใหญ่อันดับสองของเรารองลงมาคือสำนักงานใน Theale, UK และ San Jose, CA นอกจากนี้เรายังมีสำนักงานในจีนไต้หวันและอีกหลายแห่งในยุโรป.

ชื่อ บริษัท แบล็กดั๊กเกิดขึ้นได้อย่างไร?

นั่นคือคำถามที่เราถามบ่อยที่สุด ... [หัวเราะ] Black Duck ได้รับการตั้งชื่อตามสัตว์เลี้ยงในวัยเด็กของผู้ก่อตั้ง.

Black Duck Software - การจัดการและการรักษาความปลอดภัยซอฟต์แวร์โอเพนซอร์ซของคุณ

 

คุณชอบทำอะไรเมื่อไม่ได้ทำงาน?

งานอดิเรกของฉันคือตกปลาขี่จักรยานและงานไม้.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me