Black Duck-programvare – Administrere og sikre Open Source-programvaren


Det er ingen hemmelighet at bruken av open source programvarekomponenter vokser i veldig raskt tempo. Dette gjelder både unge oppstartsbedrifter så vel som etablerte bedriftsutviklere. Utviklerne som inneholder disse open source-komponentene, må på en eller annen måte holde seg oppdatert på de mange lisensproblemene og sikkerhetsproblemene til disse komponentene. I mer enn ti år har Black Duck Software hjulpet utviklere med å takle disse utfordringene og har samlet bransjens største database med åpen kildekodeinformasjon.

I min samtale med Mike Pittenger, VP for sikkerhetsstrategi hos Black Duck Software, diskuterer vi Black Duck KnowledgeBase og deres Hub-produkt som utnytter all informasjonen. Vi undersøker også noen av de mest overraskende funnene som dukket opp i løpet av Black Duck-koderevisjoner, så vel som noen av trendene Mike ser fra sitt unike utsiktspunkt på open source-samfunnet..

Fortell meg litt om deg selv og bakgrunnen din.

Jeg har vært i sikkerhetsbransjen i 17 år, jobbet i selskaper som Authentica og @stake (kjøpt av Symantec). Jeg var også medgründer av Veracode og ledet spinout av dette teamet fra @stake. I 2009 startet jeg mitt eget markedskonsulentfirma på sikkerhetsområdet. Black Duck var en klient av meg, og på et tidspunkt ga de meg et tilbud om å være med på heltid. Selskapet har et flott produkt og et stort lederteam, så jeg sa ja og ble med dem som ansatt i mars 2015.

Slik jeg forstår det, har selskapets fokus og produkttilbud utviklet seg gjennom årene. Kan du fortelle meg om selskapets historie, før vi tar en titt på tilbudene?

Black Duck Software ble grunnlagt i 2003 og for det neste tiåret fokuserte det på løsninger for åpen kildekodelisens og styring. Det ble snart ledende på rommet og ble raskt adoptert av store selskaper, spesielt når de utførte sin due diligence før de kjøpte et annet programvareselskap.

Fra 2013 flyttet Black Duck sitt hovedfokus til å håndtere sikkerhetsrisikoer med åpen kildekode, og i 2015 ga vi ut flaggskipets produkt, Black Duck Hub.

Hva er egentlig Black Duck Hub?

Black Duck Hub er et komplett open source-styringsverktøy. I kjernen skanner den prosjektets kildekode for å oppdage alle open source-komponentene. Den ser deretter etter relevante sårbarheter i open source KnowledgeBase. Black Duck Knowledgebase er bransjens mest omfattende database med åpen kildekodeinformasjon. Vi sporer for tiden over 2,5 millioner unike prosjekter, med data samlet i løpet av de siste 10 årene, inkludert dekning av:

  • Sikkerhetsproblemer
  • Full lisensstekster og plikt
  • Fellesskapets aktivitet

Vi har funnet at en gjennomsnittlig programvare i dag inneholder omtrent 35% åpen kildekode, som kartlegger til rundt 150 unike open source-komponenter. Disse tallene øker raskt.

Hvert år rapporteres det over 3000 open source sårbarheter. Tradisjonell programvaretesting og automatiserte sikkerhetstestingverktøy er ikke effektive til å finne disse sikkerhetsproblemene.

Vi beskriver risikoen vi adresserer som følger:

  • Sikkerhetsrisiko - Gi informasjon om sårbarheter rapportert i open source-komponenter. Denne informasjonen kommer fra offentlige kilder, for eksempel NIST (National Institute of Standards and Technology) National Vulnerability Database, så vel som dusinvis av andre kilder som Black Duck overvåker.
  • Lisensrisiko - Dette gir kundene informasjon om open source-lisenser i programvaren som er upassende for distribusjonsmodellen for en bestemt applikasjon (f.eks. En distribuert programvare som bruker en GPL-lisens).
  • Operasjonell risiko - En beregning om hvor godt støttet et open source-prosjekt er - antall bidragsytere, antall forpliktelser det siste året, om nyere versjoner er tilgjengelige eller ikke. Målet er å hjelpe kundene med å unngå å bruke åpen kildekode som er blitt endelevet av samfunnet.

svart-and lisens-bruk

Det ser ut til at alt er basert på KnowledgeBase - riktig? Hvordan ble det startet og hvordan opprettholdes det?

Ja, Black Duck KnowledgeBase er nøkkelen til huben, og vi har 50 personer som jobber med den. Vi begynte å jobbe med det i 2002 da selskapet ble stiftet og har forbedret det siden den gang. Mange av komponentene som vi la til KB i våre tidlige dager, er ikke lenger offentlig tilgjengelig, noe som gjør vår KB unik i sin evne til å spore disse komponentene. Vi overvåker omtrent 8 500 forskjellige nettsteder på daglig basis for nye open source programvareutgivelser. Vi oppdaterer komponentinformasjonen to ganger om dagen, og vi oppdaterer sårbarhetsdata hver time.

For et år siden etablerte vi Center for Open Source Research & Innovasjon (COSRI). Målet er å tilby avansert forskning, innovasjon, informasjon og utdanning for å sikre at det åpne kildekosystemet forblir levende og sikkert.

Det er flere komponenter til COSRI. I tillegg til Black Duck KnowledgeBase, er det en gruppe som fokuserer på maskinlæring og andre avanserte teknikker for mer identifiserende kildekodeelementer. Det finnes også Black Duck Open Hub, som er et online fellesskap og en offentlig katalog med gratis og åpen kildekode-programvare for å oppdage, evaluere, spore og sammenligne åpen kildekode og prosjekter. Open Hub har 350 000 registrerte brukere og kan redigeres av alle, som ligner på en wiki.

Hva er DevOps-integrasjonene du tilbyr?

Vi mener at det er best å integrere Hubs skanning av kildekode i prosjektets byggeprosess. For å muliggjøre det har vi utviklet integrasjoner i populære verktøy for alle stadier av byggeprosessen. Vi tilbyr alle disse integrasjonene gratis for våre kunder og har gjort de fleste av dem tilgjengelige som åpen kildekode-programvare.

svart-and integrasjoner

Du tilbyr flere typer koderevisjoner - hva er de? Hva har vært de største overraskelsene du har funnet i disse tilsynene?

Dette er engangsrevisjoner som vi kaller “Black Duck on Demand.” De blir vanligvis bedt om av et selskap under en due diligence-prosess og omfatter en eller flere av følgende revisjonstyper:

  • Åpen kildekontroll
  • Open Source Security Audit
  • Kodekvalitetsanalyse
  • Krypteringsrevisjon

Den største overraskelsen for meg fra et sikkerhetsperspektiv er at 2/3 av alle applikasjoner som bruker open source programvare inneholdt sårbarheter i den programvaren. I gjennomsnitt fant vi 27 sårbarheter per applikasjon. Kanskje enda mer sjokkerende er det at gjennomsnittsalderen på sårbarheten - tiden fra avsløringen av sårbarheten til tilsynet - var større enn 4 år! Noen var til og med 9-12 år.

svart-and-tilsyn

Hvordan definerer du markedet? Hvem er din spesifikke målgruppe innen det markedet?

For Hub-produktet vårt jobber vi normalt med selskapets CTO (Chief Technology Officer) eller CSO (Chief Security Officer) om sikkerhetsaspektene og med et selskaps interne råd i lisensspørsmålene..

For revisjonstjenestene våre jobber vi vanligvis med venturekapitalfirmaer eller selskaper som anskaffer andre selskaper eller programvareeiendeler.

Hvor mange aktive kunder har du i dag? Hvor er de hovedsakelig lokalisert?

Vi har nå mer enn 2000 kunder, hovedsakelig sentrert i USA. Vi har også en sterk tilstedeværelse i Europa, Midt-Østen og Asia-Stillehavet.

Hvordan vil du beskrive din nåværende typiske kunde?

Det varierer. Vi har mange kunder som er ISV-er (Independent Software Vendors) som bygger kommersielle programvareprodukter. Vi har også mange bedriftskunder som skriver mye programvare til eget bruk, f.eks. finansielle tjenester, forsikringsselskaper og teknologiselskaper.

Hvem er noen av de største kundene dine?

Vi er stolte av å si at kundelisten vår inkluderer noen av verdens største selskaper:

  • Intel
  • JPMorgan Chase
  • Nintendo
  • Samsung
  • SEVJE
  • ScienceLogic

Hvem ser du på som dine viktigste konkurrenter? Hvordan er du annerledes?

I løpet av de siste årene har vi sett flere nye selskaper som prøver å løse dette problemet ved å se på hvilke programvarekomponenter som blir erklært i byggeprosessen (bare).

Vi tar en tredobbelt tilnærming for å identifisere åpen kildekomponenter og potensielle sårbarheter:

  1. Pakkebehandlererklæringer
  2. Hvilke komponenter brukes faktisk
  3. Transitive avhengigheter

Du har et unikt utsiktspunkt for å se det samlede open source-samfunnet. Hvilke endringer og trender ser du når det gjelder selskaper som bruker åpen kildekode-programvare?

Vi ser en betydelig økning i antall selskaper som bruker åpen kildekode-programvare. Det som kanskje er litt overraskende er at vi ser flere og flere selskaper som bidrar med programvare tilbake til open source-samfunnet. Dette er veldig viktig fordi det sikrer et sterkt fellesskap og gir både vekst og støtte.

La meg gi deg et inntrykk av hvor mange åpen kildekode-prosjekter vi har sporet de siste årene for å legge tallene til deg.

2013 1 million
2015 1.5 millioner
2017 2,5 millioner

Har du lagt merke til noe særlig om oppstart og open source programvare?

Jeg ser mange startups gjennom tilsynene vi utfører. Oppstart i dag bruker åpen kildekode for å bygge så mye som halvparten av produktet. Dette gjør at de kan komme raskere på markedet og også redusere utviklingskostnadene. Kombinasjonen av hastighet og kostnadsbesparelser er en sterk motivasjon for å bruke åpen kildekode-programvare.

Hvordan ser du sikkerhet og open source programvare utvikle seg i løpet av de kommende årene?

Det er en økende bevissthet om begge disse elementene, og de trekker mye oppmerksomhet. Det er ikke bare sårbarhetene som får oppmerksomhet, men løsningene ser også god vekst. Bedrifter i økende grad iverksetter tiltak for å løse problemene, i stedet for bare å rapportere problemer.

Hva er dine fremtidsplaner for Black Duck?

Black Duck vil fortsette å strebe etter å være ledende innen åpen kildekodehåndtering og sikkerhet. Dette går utover bare å identifisere open source-komponenter. Det inkluderer å hjelpe kunder med å sikre at de bruker åpen kildekode som tilfredsstiller deres forretningsbehov, samt deres appetitt på risiko (f.eks. Null sårbarheter er ikke nødvendigvis målet for alle applikasjoner).

Hvor mange ansatte har du i dag? Hvor ligger de?

Black Duck har over 300 ansatte. De fleste ligger i Burlington, MA-hovedkvarteret. Kontoret vårt i Belfast, Storbritannia er vårt nest største kontor, fulgt tett av kontorer i Theale, Storbritannia og San Jose, CA. I tillegg har vi kontorer i Kina, Taiwan og flere lokasjoner i Europa.

Hvordan ble firmanavnet Black Duck til?

Det er spørsmålet vi ofte blir stilt ... [ler]. Black Duck ble oppkalt etter grunnleggerens barndoms kjæledyr.

Black Duck-programvare - Administrere og sikre Open Source-programvaren

 

Hva liker du å gjøre når du ikke jobber?

Mine hobbyer er fiske, sykling og trearbeid.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me