Misija Black Duck-a: potražiti nesigurni otvoreni kod u poduzeću

Svijet otvorenog koda pokušava biti proaktivniji u zaštiti svog softvera i protokola, ali što poduzeća mogu učiniti kako bi utvrdila ima li otvoreni izvorni kod u njihovoj bazi koda poznatu manu?

Softver Black Duck pokušava riješiti to pitanje pomoću Black Duck Hub-a, sustava koji omogućuje razvojnim programerima i revizorima koda kontinuiranu reviziju upotrebe otvorenog koda treće strane za poznate ranjivosti.

Black Duck Hub skenira postojeće baze koda kako bi stvorio račun materijala koji identificira sve otvorene kodove trećih strana koji se koriste. Predmetni materijal ne samo da identificira kôd i sve zahtjeve za licenciranje koji ga prate, već ga koristi i Black Duck da provjeri ima li kôd poznate ranjivosti, zahvaljujući vlastitoj bazi znanja.

"Za svaku od komponenata koje smo skenirali mapiramo metapodatke oko licenci pridruženih softveru, kao i postoje li sigurnosne ranjivosti u toj određenoj verziji te komponente", rekao je Bill Ledingham, tehnički direktor i izvršni potpredsjednik inženjeringa u tvrtki Black Duck. 

"Veliki fokus na proizvodu je omogućiti tvrtkama da lako skeniraju svoj kod integracijom ovog proizvoda s drugim alatima u svojoj infrastrukturi", rekao je Ledingham, navodeći Jenkinsa kao jedan takav alat. Skeniranje se može pokrenuti kad god se novi kod prijavljuje i gradi za datu bazu izvornog koda.

Black Duck određuje kvalitetu zadane komponente otvorenog koda na temelju više čimbenika, rekao je Ledingham. Uz skeniranje i korelaciju sa postojećim bazama podataka poznatih softverskih ranjivosti, tvrtka procjenjuje i druge čimbenike koji bi mogli ublažiti ili pogoršati određenu ranjivost - na primjer, je li aplikacija koja koristi kôd na javnom Internetu, koliko brzo su prethodni problemi s isti je kod ublažen, i tako dalje. Na taj način, tvrdi Ledingham, tvrtka može više razumjeti svoje trijaže i napore na sanaciji.

Broj kupaca beta verzije Black Duck Hub koji stvaraju proizvode otvorenog koda, a ne samo internu upotrebu softvera, specifičan je za industriju, rekao je Ledingham. "S industrijama poput financijskih usluga, njihova je briga više oko internih aplikacija koje imaju, gdje koriste puno otvorenog koda, a njihovi kupci koriste na web mjestima." Ranjivosti korištenih web okvira potencijalno su opasne.

Prema tvrtkama s tehnologijom i softverom, problemi su više u lancu opskrbe softverom, prema Ledinghamu. "Mnogi proizvodi koje prodaju i distribuiraju mogu imati puno sadržaja otvorenog koda, a puno drugih tehnologija trećih strana koja se tamo koristi može imati sadržaj otvorenog koda." Što je više proizvoda javno povezanih i upotrijebljenih, rekao je, veća je zabrinutost da se ne oslanjamo na ranjivu komponentu - poput sustava zabave u vozilu u automobilu kojem je dostupna aplikacija za pametni telefon.