Svet otvoreného zdroja sa snaží byť proaktívnejší pri ochrane svojho softvéru a protokolov, ale čo môžu podniky urobiť, aby zistili, či má otvorený zdrojový kód v ich kódovej základni známu chybu?
Spoločnosť Black Duck Software sa pokúša vyriešiť túto otázku pomocou systému Black Duck Hub, ktorý umožňuje vývojárom a kódovým audítorom neustále kontrolovať použitie otvoreného zdrojového kódu tretích strán pre známe chyby zabezpečenia.
Black Duck Hub skenuje existujúce kódové základne a vytvára kusovník, ktorý identifikuje všetok použitý otvorený zdrojový kód tretej strany. Kusovník nielenže identifikuje kód a akékoľvek licenčné požiadavky, ktoré s ním súvisia, ale používa ho aj spoločnosť Black Duck na overenie, či má kód známe chyby zabezpečenia, pomocou vlastnej vedomostnej základne.
„Ku každému z komponentov, ktoré sme skenovali, mapujeme metadáta okolo licencií pripojených k softvéru, ako aj to, či v konkrétnej verzii tohto komponentu existujú alebo nie sú nejaké bezpečnostné chyby,“ uviedol Bill Ledingham, CTO a výkonný viceprezident pre inžinierstvo v spoločnosti Black Duck.
„Tento produkt sa zameriava predovšetkým na to, že umožňuje spoločnostiam ľahko skenovať ich kód integráciou tohto produktu s inými nástrojmi do ich infraštruktúry,“ uviedol Ledingham a ako jeden z týchto nástrojov uviedol Jenkinsa. Skeny je možné zahájiť vždy, keď sa zaregistruje nový kód a vytvorí sa pre danú základňu zdrojového kódu.
Black Duck určuje kvalitu daného komponentu otvoreného zdroja na základe viacerých faktorov, uviedol Ledingham. Okrem skenovania a korelácie s existujúcimi databázami známych softvérových zraniteľností spoločnosť hodnotí aj ďalšie faktory, ktoré by mohli danú zraniteľnosť zmierniť alebo zhoršiť - napríklad či je aplikácia využívajúca tento kód na verejnom internete, ako rýchlo predchádzajúce problémy s rovnaký kód bol zmiernený atď. Týmto spôsobom, tvrdí Ledingham, môže spoločnosť lepšie porozumieť svojim snahám o nápravu a nápravu.
Počet zákazníkov verzie Black Duck Hub beta, ktorí vytvárajú produkty s otvoreným zdrojovým kódom a nevyužívajú softvér iba interne, je špecifický pre dané odvetvie, uviedol Ledingham. „V odvetviach, ako sú finančné služby, sa ich starosť týka skôr interných aplikácií, ktoré majú, kde používajú veľa otvoreného zdroja a nechávajú svojich zákazníkov využívať na webových stránkach.“ Zraniteľnosti použitých webových rámcov sú potenciálne nebezpečné.
Podľa Ledinghama sú problémy pre technologické a softvérové spoločnosti skôr v dodávateľskom reťazci softvéru. „Veľa produktov, ktoré predávajú a distribuujú, môže mať veľa obsahu otvoreného zdroja a veľa ďalších technológií tretích strán, ktoré sa tam používajú, môže mať obsah otvoreného zdroja.“ Čím viac produktov je verejne pripojených a používaných, uviedol, tým väčšie sú obavy, aby sa nespoliehali na zraniteľné komponenty - napríklad na zábavný systém v palubnej doske automobilu, ktorý je prístupný pomocou aplikácie pre smartphone.
