Svět otevřeného zdroje se snaží být aktivnější v ochraně svého softwaru a protokolů, ale co mohou podniky udělat, aby zjistily, zda má otevřený zdrojový kód v jejich kódové základně známou chybu?
Black Duck Software se pokouší vyřešit tuto otázku pomocí Black Duck Hub, systému, který umožňuje podnikovým vývojářům a auditorům kódu průběžně kontrolovat použití otevřeného zdrojového kódu třetí strany pro známé chyby zabezpečení.
Black Duck Hub skenuje existující kódové základny a vytváří kusovník, který identifikuje veškerý použitý otevřený zdrojový kód třetí strany. Kusovník nejen identifikuje kód a veškeré licenční požadavky, které s ním souvisejí, ale také jej používá Black Duck k ověření, zda má kód známé chyby zabezpečení, a to díky vlastní znalostní bázi.
„Ke každé z naskenovaných komponent mapujeme metadata kolem licencí připojených k softwaru a také to, zda v dané konkrétní verzi této komponenty existují nějaké bezpečnostní chyby,“ řekl Bill Ledingham, CTO a executive VP of engineering ve společnosti Black Duck.
„Velký důraz na produkt je umožněn společnostem snadno skenovat jejich kód integrací tohoto produktu s dalšími nástroji v jejich infrastruktuře,“ uvedl Ledingham a jako jeden takový nástroj uvedl Jenkins. Skeny lze zahájit, kdykoli je nový kód zapsán a vytvořen pro danou základnu zdrojového kódu.
Black Duck určuje kvalitu dané open source komponenty na základě více faktorů, uvedl Ledingham. Kromě skenování a korelace s existujícími databázemi známých softwarových zranitelností společnost hodnotí další faktory, které by mohly danou zranitelnost zmírnit nebo zhoršit - například to, zda je aplikace využívající tento kód na veřejném internetu, jak rychle předchozí problémy s stejný kód byl zmírněn atd. Tímto způsobem, tvrdí Ledingham, může společnost lépe pochopit své třídění a nápravné úsilí.
Počet zákazníků beta verze Black Duck Hub, kteří vytvářejí produkty s otevřeným zdrojovým kódem, a nikoli pouze interně používat software, je specifický pro dané odvětví, uvedl Ledingham. „V průmyslových odvětvích, jako jsou finanční služby, se jejich zájem týká spíše interních aplikací, které mají, kde používají hodně open source a nechávají své zákazníky používat na webových stránkách.“ Chyby zabezpečení v použitých webových architekturách jsou potenciálně nebezpečné.
Podle Ledinghama jsou problémy technologických a softwarových společností spíše v dodavatelském řetězci softwaru. „Mnoho produktů, které prodávají a distribuují, může mít hodně obsahu otevřeného zdroje a spousta dalších technologií třetích stran, které se tam používají, může mít obsah otevřeného zdroje.“ Čím více produktů je veřejně připojeno a používáno, řekl, tím větší je obava nespoléhat se na zranitelnou součást - například zábavní systém automobilu v palubní desce, který je přístupný pomocí aplikace pro smartphone.
