Programmering

Black Ducks mission: At finde usikker open source-kode i virksomheden

Verden af ​​open source forsøger at være mere proaktiv med hensyn til at beskytte sin software og protokoller, men hvad kan virksomheder gøre for at afgøre, om open source-koden i deres kodebase har en kendt fejl?

Black Duck Software forsøger at tackle dette spørgsmål med Black Duck Hub, et system, der giver virksomhedsudviklere og kode-revisorer mulighed for løbende at kontrollere brugen af ​​tredjeparts open source-kode for kendte sårbarheder.

Black Duck Hub scanner eksisterende kodebaser for at oprette en stykliste, der identificerer alle anvendte open source-koder fra tredjepart. Styklisten identificerer ikke kun koden og eventuelle licenskrav, der følger med den, den bruges også af Black Duck til at kontrollere, om koden har kendte sårbarheder, takket være sin egen videnbase.

"Til hver af de komponenter, vi har scannet, kortlægger vi metadata omkring de licenser, der er knyttet til softwaren, samt om der er sikkerhedssårbarheder i den specifikke version af den pågældende komponent eller ej," sagde Bill Ledingham, CTO og administrerende direktør for ingeniør hos Black Duck.

"Et stort fokus for produktet er at give virksomheder mulighed for let at scanne deres kode ved at have integrationer af dette produkt med andre værktøjer i deres infrastruktur," sagde Ledingham og citerede Jenkins som et sådant værktøj. Scanninger kan startes, når ny kode kontrolleres og bygges til en given kildekodebase.

Black Duck bestemmer kvaliteten af ​​en given open source-komponent baseret på flere faktorer, sagde Ledingham. Ud over at scanne og korrelere med de eksisterende databaser over kendte softwaresårbarheder evaluerer virksomheden andre faktorer, der kan afbøde eller forværre en given sårbarhed - for eksempel om applikationen, der bruger koden, er på det offentlige internet, hvor hurtigt tidligere problemer den samme kode er blevet afbødet og så videre. På denne måde hævder Ledingham, at et firma kan få mere mening om sin triage- og afhjælpningsindsats.

Antallet af Black Duck Hub-beta-kunder, der opretter open source-produkter i stedet for kun at bruge softwaren internt, er branchespecifik, sagde Ledingham. "I brancher som finansielle tjenester er deres bekymring mere omkring interne applikationer, som de har, hvor de bruger meget open source, og som deres kunder bruger på websteder." Sårbarheder i de anvendte webrammer er potentielt farlige.

For teknologi- og softwarevirksomheder er problemerne mere i softwareforsyningskæden, ifølge Ledingham. "Mange af de produkter, de sælger og distribuerer, kan have meget open source-indhold, og en masse anden tredjeparts-teknologi, der bruges der, kan have open source-indhold." Jo flere produkter der er offentligt tilsluttet og brugt, sagde han, jo større er bekymringen for ikke at stole på en sårbar komponent - såsom en bils in-dash underholdningssystem, der er tilgængeligt med en smartphone-app.