Avoimen lähdekoodin maailma yrittää olla ennakoivampi ohjelmistojensa ja protokolliensa suojaamisessa, mutta mitä yritykset voivat tehdä selvittääkseen, onko niiden koodikannan avoimessa lähdekoodissa tunnettu virhe?
Black Duck Software yrittää ratkaista tämän kysymyksen Black Duck Hubilla, järjestelmällä, jonka avulla yrityskehittäjät ja kooditarkastajat voivat jatkuvasti tarkastaa kolmannen osapuolen avoimen lähdekoodin käytön tunnettujen haavoittuvuuksien varalta.
Black Duck Hub skannaa olemassa olevat koodipohjat ja luo luettelon materiaaleista, jotka tunnistavat kaikki kolmannen osapuolen avoimen lähdekoodin. Materiaaliluettelossa ei vain yksilöidä koodia ja siihen liittyviä lisenssivaatimuksia, vaan Black Duck käyttää sitä myös tarkistaakseen, onko koodilla tunnettuja haavoittuvuuksia oman tietopohjansa ansiosta.
"Kullekin skannatulle komponentille kartoitetaan metatiedot ohjelmistoon liitettyjen lisenssien ympärille sekä selvitetään, onko kyseisen komponentin tietyssä versiossa tietoturva-aukkoja", sanoo Bill Ledingham, teknologiajohtaja Black Duckin suunnittelupäällikkö.
"Tuotteen suuri painopiste on antaa yrityksille mahdollisuus skannata koodinsa helposti integroimalla tämä tuote infrastruktuurinsa muihin työkaluihin", Ledingham mainitsi Jenkinsin yhtenä tällaisena työkaluna. Skannaukset voidaan aloittaa aina, kun uusi koodi kirjataan sisään ja rakennetaan tietylle lähdekoodipohjalle.
Musta ankka määrittää tietyn avoimen lähdekoodin komponentin laadun useiden tekijöiden perusteella, Ledingham sanoi. Tunnettujen ohjelmistohaavoittuvuuksien olemassa olevien tietokantojen skannauksen ja vastaavuuden lisäksi yritys arvioi muita tekijöitä, jotka saattavat lieventää tai pahentaa tiettyä haavoittuvuutta - esimerkiksi onko koodia käyttävä sovellus julkisessa Internetissä, kuinka nopeasti aiemmat ongelmat samaa koodia on lievennetty ja niin edelleen. Tällä tavalla, Ledingham väittää, yritys voi ymmärtää paremmin triagia- ja kunnostustoimia.
Black Duck Hub -beta-asiakkaiden määrä, jotka luovat avoimen lähdekoodin tuotteita sen sijaan, että käyttäisivät vain ohjelmistoa sisäisesti, on toimialakohtainen, Ledingham sanoi. "Rahoituspalveluiden kaltaisilla toimialoilla heidän huolenaiheensa on enemmän sisäisillä sovelluksilla, joita heillä on, joissa he käyttävät paljon avointa lähdekoodia ja joiden asiakkaita käytetään verkkosivustoilla." Käytettyjen verkkokehysten heikkoudet ovat mahdollisesti vaarallisia.
Teknologia- ja ohjelmistoyrityksille kysymykset ovat enemmän ohjelmistojen toimitusketjussa Ledinghamin mukaan. "Monilla heidän myymilläsä ja jakamissa tuotteissa voi olla paljon avoimen lähdekoodin sisältöä, ja monilla muilla siellä käytetyillä kolmansien osapuolten tekniikoilla voi olla avoimen lähdekoodin sisältöä." Mitä enemmän tuotteita julkisesti kytketään ja käytetään, hän sanoi, sitä suurempi on huolenaihe olla luottamatta haavoittuvaan osaan - kuten auton kojelaudan viihdejärjestelmään, johon älypuhelinsovellus pääsee.
