Ασφαλίστε τα εξαρτήματα ανοικτής πηγής με το WhiteSource

Πώς συνέβη η WhiteSource?

Η WhiteSource ιδρύθηκε από τρεις συνιδρυτές που γνωρίστηκαν ο ένας από τον άλλον από μια προηγούμενη εταιρεία που αποκτήθηκε από μια μεγάλη εταιρία το 2009. Τότε, έπρεπε να παράσχουμε λογαριασμούς για όλα τα εξαρτήματα ανοικτής πηγής που χρησιμοποιούσαμε στο λογισμικό μας . Δεν είχαμε αυτόν τον λογαριασμό, οπότε αναγκάσαμε να βγούμε έξω και να βρούμε όλα αυτά τα στοιχεία, τις εξαρτήσεις και τις εξαρτήσεις, την αδειοδότηση και την γενεαλογία. Έτσι, δημιουργήσαμε μια βαθιά ανασκόπηση για όσα χρησιμοποιήσαμε για να ολοκληρώσουμε τη συναλλαγή.

Με τυφλή τύχη, ήμασταν τυχεροί που δεν βρήκαμε κανένα επικίνδυνο στοιχείο στο λογισμικό μας. Ωστόσο, μας συνειδητοποίησε ότι ήταν μια επικίνδυνη και άσκοπα χρονοβόρα διαδικασία, παρόλο που δεν κάνουμε τίποτα που δεν ήταν κοινή πρακτική.

Κάθε εμπορικό λογισμικό που αναπτύσσεται έχει ανοικτού κώδικα σε αυτό το οποίο δεν παρακολουθείται προσεκτικά. Αυτό είναι ένα μεγάλο χάσμα στην αγορά, και για να γεφυρώσουμε αυτό το χάσμα, ξεκινήσαμε το WhiteSource το 2011.

Γύρω από αυτή την έννοια της καλύτερης διαχείρισης του ανοικτού πηγαίου κώδικα στο ιδιόκτητο λογισμικό, η εταιρεία ξεκίνησε με όλα τα κανονικά προβλήματα εκκίνησης. Ξεκινήσαμε σε ένα θερμοκοιτμήτη, μετακινήσαμε τις πωλήσεις γηπέδων στην αγορά προϊόντων και συνεχίσαμε να αναπτύσσουμε σταδιακά από το bootstrap μέχρι να είμαστε αυτοσυντηρούμενοι.

Το 2016, η δυναμική της αγοράς μετατοπίστηκε και η άνοδος της συνειδητοποίησης όσον αφορά την ασφάλεια και την ευάλωτη κατάσταση απογειώθηκε. Αρχίσαμε να έχουμε μεγάλη ζήτηση, περισσότερο από ό, τι θα μπορούσαμε να χειριστούμε. Σε εκείνο το σημείο το 2017, εντοπίσαμε την ευκαιρία και ξεκίνησε ένα γύρο χρηματοδότησης. Ηγείται του 83North, ενός πολύ γνωστού ισραηλινού επιχειρηματικού κεφαλαίου με ισχυρή παρουσία στην Silicon Valley, ενώ η Microsoft προσχώρησε και ως στρατηγικός επενδυτής. Από τότε, συνεχίσαμε να μεγαλώνουμε και σήμερα, με περισσότερους από 100 υπαλλήλους και 500 πελάτες, έχουμε μεγάλη παρουσία στις ΗΠΑ. έχουμε γραφεία στη Νέα Υόρκη και τη Βοστώνη, που πραγματοποιούν κυρίως πωλήσεις στη Βόρεια Αμερική και μια ομάδα μηχανικών και προϊόντων ανάπτυξης που βρίσκεται εδώ στο Ισραήλ.

Τι είναι μοναδικό για το WhiteSource?

Το προϊόν μας ήταν το πρώτο που παρέχει πάντα συνεχή, αυτοματοποιημένο έλεγχο και παρακολούθηση όλων των εξαρτημάτων ανοικτής πηγής που καταναλώνονται από τους μηχανικούς λογισμικού και ενσωματώνονται ως μέρος του εμπορικού λογισμικού τους. Είναι πολύ εύκολο να αναπτυχθεί και είναι ένας ελαφρύς πράκτορας. Μπορείτε να την ενσωματώσετε μέσα σε λίγα λεπτά στον υφιστάμενο αγωγό. Υποστηρίζουμε όλα τα περιβάλλοντα ανάπτυξης και τους διακομιστές, οπότε είναι πρακτικά λεπτά για να μπορέσετε να αρχίσετε να βλέπετε αναφορές και αποτελέσματα σχετικά με τα συστατικά ανοικτού κώδικα που χρησιμοποιείτε και τα οποία είναι ευάλωτα.

Έχουμε εκτεταμένη κάλυψη πάνω από 200 γλώσσες προγραμματισμού, πλαίσια και περιβάλλοντα, το οποίο είναι το ευρύτερο διαθέσιμο σήμερα στην αγορά. Διαχωρίζουμε τον κόσμο σε γλώσσες προγραμματισμού που διανέμουν ανοιχτού κώδικα σε δυαδική μορφή και μορφή μορφοποίησης και καλύπτουμε εκτενώς και με ακρίβεια τους δύο τύπους.

Έχουμε ένα πολύ ακριβές σύστημα. Μπορούμε να εντοπίσουμε όλα τα αρχεία ανοικτής πηγής που μπαίνουν στο εμπορικό λογισμικό σας και ταιριάζουν με τα ευάλωτα αρχεία. Και τα δύο δεν είναι καθόλου τετριμμένα καθήκοντα και έχουμε αναπτύξει ένα αυτοματοποιημένο σύστημα για να ταιριάξουμε και να βελτιώσουμε αυτή τη διαδικασία για να κάνουμε το σύστημα μας πολύ ακριβές. Όταν λέμε ότι έχετε ένα θέμα ευπάθειας, έχετε σίγουρα μια ευπάθεια γιατί:

  1. Δεν χάνουμε εξαρτήματα και ευπάθειες.
  2. Δεν σας πλημμυρίζουμε με ψευδή θετικά.

Είμαστε στη διαδικασία εκτόξευσης της τρίτης γενιάς της ανάλυσης σύνθεσης λογισμικού, μιας αγοράς παρακολούθησης και διαχείρισης ανοιχτού κώδικα. Έχει τη δυνατότητα να αναγνωρίζει στον δικό σας κώδικα τον τόπο και τον τρόπο πραγματοποίησης κλήσεων σε συστατικά ανοιχτού κώδικα και, στη συνέχεια, να προσδιορίζει τις κλήσεις στον ιδιόκτητο κώδικα που καταλήγουν να προκαλούν ευάλωτες ανοικτές πηγές. Αυτό σας δίνει τη δυνατότητα να δώσετε προτεραιότητα στα τρωτά σημεία που θέλετε να χειριστείτε πρώτα με βάση το εάν τα ευπαθή στοιχεία έχουν ή όχι πραγματικό, άμεσο αντίκτυπο στο προϊόν σας. Σας λέμε ακριβώς ποια ευπαθή εξαρτήματα ανοικτής πηγής έχουν σχετική επίδραση στο λογισμικό σας. Ονομάζουμε αυτή την αποτελεσματική ανάλυση χρήσης. Αναλύουμε τα τμήματα του ανοιχτού κώδικα που επηρεάζουν τον κώδικα σας και, στη συνέχεια, βοηθήστε να τα εντοπίσουμε στη γραμμή κώδικα, καθιστώντας ευκολότερη την επεξεργασία της ευπάθειας ανοιχτού κώδικα. Θα κυκλοφορήσει τον Σεπτέμβριο και τρέχει σε beta για δύο μήνες και παίρνει φανταστική ανατροφοδότηση. είναι το επόμενο μεγάλο βήμα σε αυτόν τον τομέα.

Ποιο είναι το πρόβλημα με την ασφάλεια ανοικτού κώδικα σε αντίθεση με τον αποκλειστικό κώδικα?

Η ανοικτή πηγή δεν είναι πιο ευάλωτη, είναι ευάλωτη με διαφορετικό τρόπο. Όταν γράφετε λάθη στον δικό σας κώδικα που οδηγεί σε μια ευπάθεια, είστε ο μόνος που το γνωρίζει. Συνήθως δεν το δημοσιοποιούν. Έχετε τον έλεγχο του κώδικα σας και μπορείτε να το διορθώσετε απευθείας και να τον διαχειριστείτε. Από την πλευρά των ανοιχτών πηγών, σχεδόν πάντα η ευπάθεια θα είναι δημόσια γνωστή προτού να γνωρίζετε γι 'αυτό και σίγουρα δεν θα μπορείτε να την λύσετε μόνοι σας. Πρέπει να βασιστείτε στην κοινότητα ανοιχτού κώδικα για να μεταφέρετε τις ενημερώσεις κώδικα και τις ενημερώσεις κώδικα και να τις εφαρμόσετε με τον τρόπο που σας καθοδηγούν.

Πρόκειται για δύο διαφορετικούς τύπους ευπάθειας που απαιτούν διαφορετικά εργαλεία. Οι αδυναμίες ανοιχτού κώδικα είναι πολύ πιο εμφανείς και λαμβάνουν περισσότερη προσοχή από τους χάκερ γιατί μπορούν να μάθουν γι 'αυτές από διαθέσιμες στο κοινό εξωτερικές πηγές και να προσπαθήσουν να τις εκμεταλλευτούν.

Πώς βλέπετε το μέλλον του Open Source?

Σήμερα, το open-source είναι ήδη η πλειοψηφία των κλήσεων σε εμπορικές εφαρμογές και μόνο το μερίδιο μειοψηφίας είναι αποκλειστικός κώδικας. Στα επόμενα χρόνια, οι ομάδες λογισμικού θα χρησιμοποιήσουν εργαλεία για τον έλεγχο της χρήσης ανοικτού κώδικα πριν γράψουν μια γραμμή κώδικα, όπως κάνουν τώρα για τον αποκλειστικό κώδικα. Θα διαθέτουν διάφορους διακομιστές και συστήματα. Σε πέντε χρόνια, το ίδιο επίπεδο ελέγχου και προσοχής που δίδεται στον ιδιόκτητο κώδικα θα δοθεί στον κώδικα ανοιχτού κώδικα.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me