Verden med åpen kildekode prøver å være mer proaktiv når det gjelder å beskytte programvaren og protokollene, men hva kan bedrifter gjøre for å avgjøre om åpen kildekode i kodebasen har en kjent feil?
Black Duck Software prøver å løse dette spørsmålet med Black Duck Hub, et system som gjør det mulig for bedriftsutviklere og kode revisorer å kontinuerlig revidere bruken av tredjeparts åpen kildekode for kjente sårbarheter.
Black Duck Hub skanner eksisterende kodebaser for å lage en regning med materialer som identifiserer all åpen kildekode fra tredjepart som brukes. Stofflisten identifiserer ikke bare koden og eventuelle lisensieringskrav som følger med den, den brukes også av Black Duck for å verifisere om koden har kjente sårbarheter, takket være sin egen kunnskapsbase.
"Til hver av komponentene vi har skannet, kartlegger vi metadata rundt lisensene som er tilknyttet programvaren, samt om det er sikkerhetsproblemer i den spesielle versjonen av komponenten," sa Bill Ledingham, CTO og konserndirektør for ingeniør i Black Duck.
"Et stort fokus for produktet er å la bedrifter enkelt skanne koden sin ved å ha integrasjoner av dette produktet med andre verktøy i sin infrastruktur," sa Ledingham og sa Jenkins som et slikt verktøy. Skanninger kan startes når ny kode sjekkes inn og bygges for en gitt kildekodebase.
Black Duck bestemmer kvaliteten på en gitt open source-komponent basert på flere faktorer, sa Ledingham. I tillegg til å skanne og korrelere mot eksisterende databaser med kjente programvaresårbarheter, evaluerer selskapet andre faktorer som kan redusere eller forverre en gitt sårbarhet - for eksempel om applikasjonen som bruker koden, er på det offentlige Internett, hvor raskt tidligere problemer med den samme koden er redusert, og så videre. På denne måten, hevder Ledingham, kan et selskap få mer mening om triage- og utbedringsarbeidet.
Antallet Black Duck Hub-beta-kunder som lager open source-produkter, i stedet for bare å bruke programvaren internt, er bransjespesifikt, sa Ledingham. "Når det gjelder bransjer som finansielle tjenester, handler deres bekymring mer om interne applikasjoner de har, hvor de bruker mye åpen kildekode, og som kundene bruker på nettsteder." Sårbarheter i de brukte nettrammene er potensielt farlige.
For teknologi- og programvareselskaper er problemene mer i programvareleverandørkjeden, ifølge Ledingham. "Mange av produktene de selger og distribuerer kan ha mye åpen kildekodeinnhold, og mye annen tredjeparts teknologi som brukes der kan ha åpen kildekodeinnhold." Jo flere produkter som er offentlig tilkoblet og brukt, sa han, jo større er bekymringen for ikke å stole på en sårbar komponent - for eksempel bilens in-dash underholdningssystem som er tilgjengelig med en smarttelefonapp.
