Svet odprte kode poskuša bolj proaktivno zaščititi svojo programsko opremo in protokole, toda kaj lahko podjetja storijo, da ugotovijo, ali ima odprtokodna koda v njihovi bazi kode znano napako?
Programska oprema Black Duck poskuša to vprašanje rešiti s sistemom Black Duck Hub, sistemom, ki razvijalcem podjetij in revizorjem kode omogoča nenehno preverjanje uporabe odprtokodne kode drugih proizvajalcev za znane ranljivosti.
Black Duck Hub skenira obstoječe baze kod, da ustvari seznam materialov, ki identificira vse uporabljene odprtokodne kode drugih proizvajalcev. Poročilo ne samo, da identificira kodo in morebitne zahteve glede licenciranja, temveč jo Black Duck uporablja tudi za preverjanje, ali ima kodo znane ranljivosti iz lastne baze znanja.
"Za vsako od komponent, ki smo jih pregledali, preslikamo metapodatke okoli licenc, priloženih programski opremi, in tudi, ali v tej različici te komponente obstajajo varnostne ranljivosti," je povedal Bill Ledingham, tehnični direktor in izvršni podpredsednik inženiringa v podjetju Black Duck.
"Velik poudarek na izdelku je omogočiti podjetjem, da zlahka optično preberejo svojo kodo z integracijo tega izdelka z drugimi orodji v svoji infrastrukturi," je dejal Ledingham in Jenkinsov navedel kot eno od takih orodij. Skeniranje se lahko začne, ko se nova koda prijavi in zgradi za določeno osnovo izvorne kode.
Black Duck določa kakovost dane odprtokodne komponente na podlagi več dejavnikov, je dejal Ledingham. Poleg skeniranja in korelacije z obstoječimi bazami znanih ranljivosti programske opreme podjetje oceni še druge dejavnike, ki bi lahko ublažili ali poslabšali določeno ranljivost - na primer, ali je aplikacija, ki uporablja kodo, v javnem internetu, kako hitro so se pojavile prejšnje težave z enaka koda je bila ublažena itd. Tako lahko, trdi Ledingham, podjetje bolj osmisli svoja triažna in sanacijska prizadevanja.
Število kupcev beta Black Duck Hub, ki ustvarjajo odprtokodne izdelke in ne samo programske opreme, je specifično za posamezno panogo, je dejal Ledingham. "Pri panogah, kot so finančne storitve, je njihova skrb bolj v zvezi z notranjimi aplikacijami, ki jih imajo, kjer uporabljajo veliko odprtokodnih kod in stranke uporabljajo na spletnih mestih." Ranljivosti v uporabljenih spletnih okvirih so potencialno nevarne.
Po mnenju Ledinghama so za tehnološka in programska podjetja težave bolj v dobavni verigi programske opreme. "Veliko izdelkov, ki jih prodajajo in distribuirajo, ima lahko veliko odprtokodne vsebine, veliko drugih neodvisnih tehnologij, ki se tam uporabljajo, pa ima odprtokodne vsebine." Po njegovih besedah je več izdelkov javno povezanih in uporabljenih, večja je skrb, da se ne zanašamo na ranljivo komponento - na primer avtomobilski sistem za zabavo v pomišljaju, do katerega lahko dostopa aplikacija za pametni telefon.
