Atvirojo kodo pasaulis bando aktyviau apsaugoti savo programinę įrangą ir protokolus, tačiau ką įmonės gali padaryti, kad nustatytų, ar jų kodų bazėje esantis atvirojo kodo kodas turi trūkumų?
„Black Duck“ programinė įranga bando išspręsti šį klausimą naudodama „Black Duck Hub“ - sistemą, leidžiančią įmonės kūrėjams ir kodų auditoriams nuolat tikrinti trečiųjų šalių atvirojo kodo naudojimą dėl žinomų pažeidžiamumų.
„Black Duck Hub“ nuskaito esamas kodų bazes ir sukuria medžiagų sąrašą, identifikuojantį visus naudojamus trečiųjų šalių atvirojo kodo kodus. Medžiagų sąrašuose ne tik nurodomas kodas ir visi su juo susiję licencijavimo reikalavimai, jį taip pat naudoja „Black Duck“, kad patikrintų, ar kode yra žinomų pažeidžiamumų, sutinkant su jos pačių žinių baze.
„Kiekvienam iš mūsų nuskaitytų komponentų mes susiejame metaduomenis apie prie programinės įrangos pridėtas licencijas ir tai, ar toje konkrečioje to komponento versijoje nėra saugumo spragų“, - sakė Billas Ledinghamas (CTO). „Black Duck“ inžinerijos vadovas.
„Didelis dėmesys šiam produktui yra leisti įmonėms lengvai nuskaityti savo kodą integruojant šį produktą su kitais savo infrastruktūros įrankiais“, - sakė Ledinghamas kaip vieną tokių priemonių nurodydamas Jenkinsą. Nuskaitymus galima pradėti kiekvieną kartą, kai yra patvirtinamas ir sukuriamas naujas kodas tam tikrai šaltinio kodo bazei.
Juodoji antis nustato tam tikro atviro kodo komponento kokybę remdamasi keliais veiksniais, sakė Ledinghamas. Be nuskaitymo ir koreliacijos su esamomis žinomų programinės įrangos pažeidžiamumų duomenų bazėmis, įmonė įvertina kitus veiksnius, kurie gali sušvelninti ar sustiprinti tam tikrą pažeidžiamumą, pavyzdžiui, ar kodą naudojanti programa yra viešajame internete, kaip greitai ankstesnės problemos su buvo sušvelnintas tas pats kodas ir t. Tokiu būdu, tvirtina „Ledingham“, įmonė gali labiau suprasti savo triažo ir taisymo pastangas.
„Black Duck Hub“ beta klientų, kurie kuria atviro kodo produktus, o ne tik naudojasi programine įranga viduje, skaičius yra specifinis pramonės šakai, sakė Ledinghamas. "Tokiose pramonės šakose kaip finansinės paslaugos jų rūpestis labiau susijęs su vidinėmis programomis, kurias jie turi, kur jie naudoja daug atvirojo kodo ir klientai naudojasi svetainėse." Naudojamų žiniatinklio sistemų pažeidžiamumai gali būti pavojingi.
Pasak Ledinghamo, technologijų ir programinės įrangos įmonėms klausimai yra labiau susiję su programinės įrangos tiekimo grandine. "Daugelyje jų parduodamų ir platinamų produktų gali būti daug atvirojo kodo turinio, o daugybė kitų ten naudojamų trečiųjų šalių technologijų gali turėti atvirojo kodo turinį." Kuo daugiau produktų yra viešai prijungta ir naudojama, anot jo, tuo didesnis rūpestis nepasikliauti pažeidžiamu komponentu, pavyzdžiui, automobilio pramogų sistema, kuri pasiekiama išmaniojo telefono programėle.
