Atvērtā koda pasaule mēģina aktīvāk aizsargāt savu programmatūru un protokolus, bet ko uzņēmumi var darīt, lai noteiktu, vai viņu kodu bāzē esošajam atvērtā koda kodam ir zināms trūkums?
Programma Black Duck mēģina risināt šo jautājumu ar Black Duck Hub - sistēmu, kas ļauj uzņēmuma izstrādātājiem un kodu auditoriem pastāvīgi pārbaudīt trešo pušu atvērtā pirmkoda izmantošanu zināmu ievainojamību gadījumā.
Black Duck Hub skenē esošās kodu bāzes, lai izveidotu materiālu sarakstu, kas identificē visu izmantoto trešo personu atvērtā pirmkoda kodu. Materiālu rēķinā ir norādīts ne tikai kods un visas ar to saistītās licencēšanas prasības, bet Black Duck to izmanto arī, lai pārbaudītu, vai kodam ir zināmas ievainojamības, pateicoties tās pašas zināšanu bāzei.
"Katram komponentam, kuru esam skenējuši, mēs kartējam metadatus ap programmatūrai pievienotajām licencēm, kā arī to, vai konkrētajā šī komponenta versijā ir vai nav drošības ievainojamības," sacīja Bils Ledingems (CTO). Melnās pīles inženierzinātņu viceprezidents.
"Liela uzmanība produktam ir ļauta uzņēmumiem viegli skenēt savu kodu, integrējot šo produktu ar citiem instrumentiem savā infrastruktūrā," sacīja Ledingems, kā vienu no šādiem rīkiem minot Dženkinsu. Skenēšanu var sākt ikreiz, kad tiek reģistrēts un izveidots jauns kods konkrētai pirmkodu bāzei.
Melnā pīle nosaka konkrēta atvērtā koda komponenta kvalitāti, pamatojoties uz vairākiem faktoriem, sacīja Ledingems. Papildus skenēšanai un korelācijai ar esošajām zināmo programmatūras ievainojamību datu bāzēm uzņēmums novērtē arī citus faktorus, kas varētu mazināt vai saasināt konkrēto ievainojamību - piemēram, vai lietojumprogramma, kas izmanto kodu, atrodas publiskajā internetā, cik ātri iepriekšējās problēmas ar ir mazināts tas pats kods utt. Tādā veidā, pēc Ledingemas apgalvojuma, uzņēmums var vairāk izprast savus šķirošanas un sanācijas centienus.
Black Duck Hub beta klientu skaits, kuri rada atvērtā pirmkoda produktus, nevis tikai iekšēji lieto programmatūru, ir specifisks nozarei, sacīja Ledingems. "Ar tādām nozarēm kā finanšu pakalpojumi viņu rūpes ir vairāk saistītas ar iekšējām lietojumprogrammām, kas tām ir, kur viņi izmanto daudz atvērtā koda un klienti izmanto vietnēs." Izmantoto tīmekļa ietvaru ievainojamība ir potenciāli bīstama.
Tehnoloģiju un programmatūras uzņēmumiem jautājumi ir vairāk saistīti ar programmatūras piegādes ķēdi, norāda Ledingham. "Daudziem produktiem, ko viņi pārdod un izplata, var būt daudz atvērtā pirmkoda satura, un daudzām citām trešo pušu tehnoloģijām, kas tur tiek izmantotas, var būt atvērta pirmkoda saturs." Jo vairāk produktu tiek publiski savienoti un izmantoti, viņš teica, jo lielākas bažas nav paļauties uz neaizsargātu komponentu - piemēram, automašīnas izklaides sistēmu domuzīmē, kurai var piekļūt ar viedtālruņa lietotni.
