Black Duck-sagteware – die bestuur en beveiliging van u open source sagteware


Dit is geen geheim dat die gebruik van open source sagteware-komponente vinnig groei nie. Dit geld sowel jong ondernemings as gevestigde ondernemings. Die ontwikkelaars wat hierdie open source-komponente bevat, moet op die een of ander manier op die hoogte bly van die vele lisensiekwessies en sekuriteitsprobleme van hierdie komponente. Black Duck Software help ontwikkelaars al meer as tien jaar om hierdie uitdagings aan te spreek en het die bedryf se grootste databasis van open source-komponentinligting opgehoop.

In my gesprek met Mike Pittenger, VP vir sekuriteitstrategie by Black Duck Software, bespreek ons ​​die Black Duck KnowledgeBase en hul Hub-produk wat al die inligting benut. Ons ondersoek ook enkele van die mees verrassende bevindings wat tydens die Black Duck-kode-oudits opgeduik het, asook ‘n paar neigings wat Mike sien vanuit sy unieke uitkykpunt oor die open source-gemeenskap..

Vertel my asseblief ‘n bietjie van jouself en jou agtergrond.

Ek werk al 17 jaar in die sekuriteitsbedryf en werk by maatskappye soos Authentica en @stake (verkry deur Symantec). Ek was ook die medestigter van Veracode en het die draai van hierdie span vanaf @ stake gelei. In 2009 het ek my eie bemarkingsadviesonderneming in die veiligheidsruimte begin. Black Duck was ‘n kliënt van my en hulle het my op ‘n stadium ‘n aanbod gegee om voltyds by hulle aan te sluit. Die onderneming het ‘n wonderlike produk en ‘n puik bestuurspan, so ek het ja gesê en in Maart 2015 as ‘n werknemer aangesluit.

Soos ek dit verstaan, het die maatskappy se fokus en produkaanbiedinge oor die jare ontwikkel. Kan u my asseblief vertel van die geskiedenis van die onderneming voordat ons nadink oor die aanbiedinge?

Black Duck Software is in 2003 gestig en het die volgende dekade gefokus op oplossings vir nakoming en bestuur van open source-lisensies. Dit het spoedig die leier in die ruimte geword en is vinnig deur groot ondernemings aangeneem, veral as hulle hul omsigtigheid uitgevoer het voordat hulle ‘n ander sagtewaremaatskappy aangekoop het.

Vanaf 2013 het Black Duck sy hooffokus verskuif na die bestuur van open source-veiligheidsrisiko’s en in 2015 het ons ons vlagskipproduk, die Black Duck Hub, vrygestel.

Wat presies is die Black Duck Hub?

Black Duck Hub is ‘n volledige open source bestuurhulpmiddel. In die kern daarvan skandeer dit ‘n projek se bronkode om al die open source-komponente te ontdek. Daarna word daar gekyk na relevante kwesbaarhede in ons open source KnowledgeBase. Die Black Duck Knowledgebase is die industrie se omvattendste databasis van open source inligting. Ons hou tans meer as 2,5 miljoen unieke projekte dop, met data wat oor die afgelope tien jaar saamgestel is, insluitend die dekking van:

  • kwesbaarhede
  • Volledige lisensie tekste en verpligting
  • Gemeenskapsaktiwiteit

Ons het gevind dat ‘n gemiddelde sagtewaretoepassing vandag ongeveer 35% open source-kode bevat, wat ongeveer 150 unieke open source-komponente oplewer. Hierdie getalle neem vinnig toe.

Daar word jaarliks ​​meer as 3 000 open source kwesbaarhede aangemeld. Tradisionele sagtewaretoetsing en outomatiese veiligheidstoetsinstrumente is nie effektief om hierdie kwesbaarhede op te spoor nie.

Ons beskryf die risiko’s wat ons aanpak soos volg:

  • Veiligheidsrisiko – Voorsien inligting oor kwesbaarhede wat in open source komponente gerapporteer is. Hierdie inligting kom van openbare bronne, soos die NIST (National Institute of Standards and Technology) se nasionale kwesbaarheidsdatabasis, sowel as tientalle ander bronne wat Black Duck monitor.
  • Lisensie risiko – Dit bied aan kliënte inligting oor open source-lisensies in die sagteware wat onvanpas is vir die ontplooiingsmodel vir ‘n spesifieke toepassing (bv. ‘N verspreide sagtewaretoepassing met ‘n GPL-lisensie).
  • Bedryfsrisiko – ‘N Metaal oor hoe goed ‘n open source-projek ondersteun word – die aantal bydraers, die aantal begaan oor die afgelope jaar, of nuwer weergawes beskikbaar is al dan nie. Die doel is om kliënte te help om open source te gebruik wat effektief deur die gemeenskap beëindig is.

swart-eend-lisensie gebruik

Dit wil voorkom asof alles op u KnowledgeBase gebaseer is – korrek? Hoe is daar begin en hoe word dit gehandhaaf??

Ja, die Black Duck KnowledgeBase is die sleutel tot die Hub en ons het 50 mense wat daaraan werk. Ons het daaraan begin werk in 2002, toe die maatskappy gestig is, en dit sedertdien verbeter. Baie van die komponente wat ons in die vroeë dae by die KB gevoeg het, is nie meer in die openbaar beskikbaar nie, wat ons KB uniek maak in die vermoë om hierdie komponente op te spoor. Ons monitor daagliks ongeveer 8 500 verskillende webwerwe vir nuwe open source sagtewarevrystellings. Ons dateer die komponentinligting twee keer per dag op en ons werk die kwesbaarheidsdata elke uur.

Ons het ‘n jaar gelede die Sentrum vir Open Source Research opgerig & Innovasie (COSRI). Die doel is om toonaangewende navorsing, innovasie, inligting en onderwys te bied om te verseker dat die oopbron-ekosisteem lewendig en veilig bly..

Daar is verskillende komponente aan die COSRI. Benewens die Black Duck KnowledgeBase, is daar ‘n groep wat fokus op masjienleer en ander gevorderde tegnieke om die bronkode-elemente meer breedvoerig te identifiseer. Daar is ook die Black Duck Open Hub, wat ‘n aanlyngemeenskap en ‘n openbare gids is met gratis en oopbron-sagteware om oopbronkode en projekte te ontdek, te evalueer, op te spoor en te vergelyk. Die Open Hub het 350.000 geregistreerde gebruikers en kan deur almal geredigeer word, soortgelyk aan ‘n wiki.

Wat is die DevOps-integrasies wat u aanbied??

Ons glo dat dit die beste is om die Hub se skandering van bronkode in die bouproses van ‘n projek te integreer. Om dit moontlik te maak, het ons integrasies in gewilde instrumente vir alle stadiums van die bouproses ontwikkel. Ons bied al hierdie integrasies gratis aan ons kliënte en het die meeste daarvan as open source sagteware beskikbaar gestel.

swart-eend integrasies

U bied verskillende soorte kode-oudits aan: wat is dit? Wat was die grootste verrassings wat u by hierdie oudits gevind het?

Dit is eenmalige oudits wat ons ‘Black Duck on Demand’ noem. Dit word gewoonlik deur ‘n maatskappy aangevra tydens ‘n behoorlike ondersoekproses en bestaan ​​uit een of meer van die volgende ouditipes:

  • Oopbron-oudit
  • Open Source-sekuriteitsoudit
  • Kode Kwaliteit Analise
  • Enkripsie-oudit

Die grootste verrassing vir my uit ‘n veiligheidsoogpunt is dat 2/3 van alle toepassings wat open source-sagteware gebruik, kwesbaarhede in daardie sagteware bevat. Ons het gemiddeld 27 kwesbaarhede per toepassing gevind. Miskien nog meer skokkend is dat die gemiddelde ouderdom van die kwesbaarheid – die tyd vanaf die bekendmaking van die kwesbaarheid by die oudit – langer as vier jaar was! Sommige was selfs soveel as 9-12 jaar.

swart-eend oudits

Hoe definieer u u mark? Wie is u spesifieke teikengehoor binne daardie mark??

Vir ons Hub-produk werk ons ​​normaalweg met ‘n maatskappy se CTO (Chief Technology Officer) of CSO (Chief Security Officer) aan die veiligheidsaspekte en met ‘n maatskappy se interne advokaat oor die lisensiëringskwessies..

Vir ons ouditdienste werk ons ​​gewoonlik saam met waagkapitaalondernemings of maatskappye wat ander ondernemings of sagtewarebates verkry.

Hoeveel aktiewe kliënte het u vandag? Waar is hulle hoofsaaklik geleë??

Ons het nou meer as 2000 kliënte, hoofsaaklik in die VSA gesentreer. Ons het ook ‘n sterk teenwoordigheid in Europa, die Midde-Ooste en Asië-Stille Oseaan.

Hoe sou u u huidige tipiese klant beskryf??

Dit wissel. Ons het baie kliënte wat ISV’s (onafhanklike sagtewareverkopers) is wat kommersiële sagtewareprodukte bou. Ons het ook baie ondernemingskliënte wat baie sagteware vir eie gebruik skryf, bv. finansiële dienste, versekeringsmaatskappye en tegnologiese ondernemings.

Wie is van u grootste kliënte??

Ons is trots om te kan sê dat ons kliëntelys van die grootste maatskappye in die wêreld insluit:

  • Intel
  • JPMorgan Chase
  • Nintendo
  • Samsung
  • SAP
  • ScienceLogic

Wie sien jy as jou belangrikste mededingers? Hoe verskil u??

In die laaste paar jaar het ons verskeie nuwe maatskappye gesien wat probeer om hierdie probleem aan te spreek deur te kyk na watter sagteware-komponente in die bouproses verklaar word (slegs).

Ons gebruik ‘n drieledige benadering om open source komponente en potensiële kwesbaarhede te identifiseer:

  1. Verklaring van pakketbestuurder
  2. Watter komponente word eintlik gebruik?
  3. Oorgangsafhanklikhede

U het ‘n unieke uitkykpunt om die algemene open source-gemeenskap te besigtig. Watter veranderinge en neigings sien u in terme van maatskappye wat open source-sagteware gebruik?

Ons sien ‘n beduidende toename in die aantal ondernemings wat open source-sagteware gebruik. Wat miskien ‘n bietjie verrassend is, is dat ons al hoe meer maatskappye sien wat sagteware bydra tot die open source-gemeenskap. Dit is baie belangrik omdat dit ‘n sterk gemeenskap verseker en groei en ondersteuning bied.

Laat ek u ‘n idee gee van hoeveel open source projekte ons die afgelope paar jaar gevolg het:

20131 miljoen
20151,5 miljoen
20172,5 miljoen

Het u veral iets opgemerk oor startups en open source sagteware?

Ek sien baie startups deur die oudits wat ons uitvoer. Opstarters gebruik vandag open source sagteware om soveel as die helfte van hul produkte te bou. Dit stel hulle in staat om vinniger te bemark en ook hul ontwikkelingskoste te verlaag. Die kombinasie van spoed en kostebesparing is ‘n sterk motivering om open source sagteware te gebruik.

Hoe sien u die beveiliging en open source sagteware wat in die komende jare ontwikkel?

Albei hierdie elemente word bewus gemaak en hulle vestig baie aandag. Dit is nie net die kwesbaarhede wat aandag kry nie, maar die oplossings ervaar ook goeie groei. Ondernemings neem toenemend aksies op om die probleme op te los, eerder as om net probleme aan te meld.

Wat is u toekomsplanne vir Black Duck??

Black Duck sal aanhou streef om die leier op die gebied van open source bestuur en sekuriteit te wees. Dit gaan verder as bloot die identifisering van open source komponente. Dit sluit kliënte in om te verseker dat hulle open source-kode gebruik wat aan hul sakebehoeftes voldoen, asook hul aptyt vir risiko (bv. Nul kwesbaarhede is nie noodwendig die doel vir elke toepassing nie).

Hoeveel werknemers het u vandag? Waar is hulle geleë?

Black Duck het meer as 300 werknemers. Die meeste is in ons Burlington, MA-hoofkantoor. Ons kantoor in Belfast, die Verenigde Koninkryk, is ons tweede grootste kantoor, en nou gevolg deur kantore in Theale, die Verenigde Koninkryk en San Jose, Kalifornië. Boonop het ons kantore in China, Taiwan en verskeie plekke in Europa.

Hoe het die maatskappy se naam Black Duck ontstaan??

Dit is die vraag wat ons die meeste gevra word … [lag]. Black Duck is vernoem na die kinder troeteldier van die stigter.

 

Wat hou u daarvan om te doen as u nie werk nie?

My stokperdjies is hengel, fietsry en houtwerk.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map