Ο κόσμος του ανοιχτού κώδικα προσπαθεί να είναι πιο ενεργός για την προστασία του λογισμικού και των πρωτοκόλλων του, αλλά τι μπορούν να κάνουν οι επιχειρήσεις για να προσδιορίσουν εάν ο κώδικας ανοιχτού κώδικα στη βάση τους έχει γνωστό ελάττωμα;
Το Black Duck Software επιχειρεί να αντιμετωπίσει αυτήν την ερώτηση με το Black Duck Hub, ένα σύστημα που επιτρέπει στους προγραμματιστές επιχειρήσεων και τους ελεγκτές κώδικα να ελέγχουν συνεχώς τη χρήση κώδικα ανοιχτού κώδικα τρίτων για γνωστά τρωτά σημεία.
Το Black Duck Hub σαρώνει υπάρχουσες βάσεις κώδικα για να δημιουργήσει έναν λογαριασμό υλικών που προσδιορίζει όλους τους κωδικούς ανοιχτού κώδικα τρίτων που χρησιμοποιούνται. Ο λογαριασμός υλικών όχι μόνο προσδιορίζει τον κωδικό και τυχόν απαιτήσεις αδειοδότησης που ταιριάζουν, αλλά χρησιμοποιείται επίσης από τη Black Duck για να επαληθεύσει εάν ο κώδικας έχει γνωστά τρωτά σημεία, χάρη στη δική του βάση γνώσεων.
"Σε καθένα από τα στοιχεία που έχουμε σαρώσει, χαρτογραφούμε μεταδεδομένα γύρω από τις άδειες που συνδέονται με το λογισμικό, καθώς και εάν υπάρχουν ή όχι ευπάθειες ασφαλείας στη συγκεκριμένη έκδοση αυτού του στοιχείου", δήλωσε ο Bill Ledingham, CTO και εκτελεστικό VP της μηχανικής στο Black Duck.
"Μια μεγάλη εστίαση για το προϊόν είναι να επιτρέπουν στις εταιρείες να σαρώσουν εύκολα τον κώδικά τους έχοντας ενσωματώσεις αυτού του προϊόντος με άλλα εργαλεία στην υποδομή τους", δήλωσε ο Ledingham, αναφέροντας τη Jenkins ως ένα τέτοιο εργαλείο. Οι σαρώσεις μπορούν να ξεκινήσουν κάθε φορά που ο νέος κωδικός ελέγχεται και δημιουργείται για μια δεδομένη βάση πηγαίου κώδικα.
Το Black Duck καθορίζει την ποιότητα ενός δεδομένου εξαρτήματος ανοιχτού κώδικα με βάση πολλούς παράγοντες, δήλωσε ο Ledingham. Εκτός από τη σάρωση και τη συσχέτιση με τις υπάρχουσες βάσεις δεδομένων γνωστών τρωτών σημείων λογισμικού, η εταιρεία αξιολογεί άλλους παράγοντες που ενδέχεται να μετριάσουν ή να επιδεινώσουν μια δεδομένη ευπάθεια - για παράδειγμα, εάν η εφαρμογή που χρησιμοποιεί τον κώδικα είναι στο δημόσιο Διαδίκτυο, πόσο γρήγορα τα προηγούμενα ζητήματα με ο ίδιος κωδικός έχει μετριαστεί και ούτω καθεξής. Με αυτόν τον τρόπο, ισχυρίζεται ο Ledingham, μια εταιρεία μπορεί να κατανοήσει καλύτερα τις προσπάθειές της για τη διόρθωση και την αποκατάσταση.
Ο αριθμός των πελατών beta του Black Duck Hub που δημιουργούν προϊόντα ανοιχτού κώδικα, αντί να χρησιμοποιούν μόνο το λογισμικό εσωτερικά, είναι ειδικά για τη βιομηχανία, δήλωσε ο Ledingham. "Με βιομηχανίες όπως οι χρηματοοικονομικές υπηρεσίες, η ανησυχία τους αφορά περισσότερο τις εσωτερικές εφαρμογές που διαθέτουν, όπου χρησιμοποιούν πολλούς ανοιχτού κώδικα και έχουν τους πελάτες τους να χρησιμοποιούν σε ιστότοπους." Τα ευπάθειες στα πλαίσια Web που χρησιμοποιούνται είναι δυνητικά επικίνδυνα.
Για τις εταιρείες τεχνολογίας και λογισμικού, τα ζητήματα αναφέρονται περισσότερο στην αλυσίδα εφοδιασμού λογισμικού, σύμφωνα με τον Ledingham. "Πολλά από τα προϊόντα που πωλούν και διανέμουν μπορεί να έχουν πολύ περιεχόμενο ανοιχτού κώδικα και πολλή άλλη τεχνολογία τρίτου μέρους που χρησιμοποιείται εκεί μπορεί να έχει περιεχόμενο ανοιχτού κώδικα." Όσο περισσότερα προϊόντα συνδέονται και χρησιμοποιούνται δημόσια, είπε, τόσο μεγαλύτερη είναι η ανησυχία να μην βασίζεσαι σε ένα ευάλωτο στοιχείο - όπως ένα σύστημα ψυχαγωγίας στο αυτοκίνητο που είναι προσβάσιμο από μια εφαρμογή smartphone.
