Die Mission von Black Duck: Suche nach unsicherem Open Source Code im Unternehmen

Die Open Source-Welt versucht, ihre Software und Protokolle proaktiver zu schützen. Was können Unternehmen jedoch tun, um festzustellen, ob der Open Source-Code in ihrer Codebasis einen bekannten Fehler aufweist?

Black Duck Software versucht, diese Frage mit Black Duck Hub zu beantworten, einem System, mit dem Unternehmensentwickler und Codeprüfer die Verwendung von Open Source-Code von Drittanbietern kontinuierlich auf bekannte Schwachstellen überprüfen können.

Black Duck Hub durchsucht vorhandene Codebasen, um eine Stückliste zu erstellen, die den gesamten verwendeten Open Source-Code von Drittanbietern identifiziert. Die Stückliste identifiziert nicht nur den Code und die damit verbundenen Lizenzanforderungen, sondern wird auch von Black Duck verwendet, um mithilfe seiner eigenen Wissensbasis zu überprüfen, ob der Code bekannte Schwachstellen aufweist.

"Jeder der von uns gescannten Komponenten ordnen wir Metadaten zu den an die Software angehängten Lizenzen zu sowie zu, ob in dieser bestimmten Version dieser Komponente Sicherheitslücken bestehen oder nicht", so Bill Ledingham, CTO und Executive Vice President of Engineering bei Black Duck. 

"Ein großer Schwerpunkt des Produkts liegt darauf, dass Unternehmen ihren Code einfach scannen können, indem sie dieses Produkt in andere Tools in ihrer Infrastruktur integrieren", sagte Ledingham und zitierte Jenkins als ein solches Tool. Scans können gestartet werden, wenn neuer Code eingecheckt und für eine bestimmte Quellcodebasis erstellt wird.

Laut Ledingham bestimmt Black Duck die Qualität einer bestimmten Open-Source-Komponente anhand mehrerer Faktoren. Zusätzlich zum Scannen und Korrelieren mit den vorhandenen Datenbanken bekannter Software-Schwachstellen bewertet das Unternehmen andere Faktoren, die eine bestimmte Schwachstelle mindern oder verschlimmern können - beispielsweise, ob sich die Anwendung, die den Code verwendet, im öffentlichen Internet befindet und wie schnell frühere Probleme mit Der gleiche Code wurde gemildert und so weiter. Laut Ledingham kann ein Unternehmen auf diese Weise seine Triage- und Sanierungsbemühungen sinnvoller gestalten.

Die Anzahl der Beta-Kunden von Black Duck Hub, die Open-Source-Produkte erstellen, anstatt die Software nur intern zu verwenden, ist branchenspezifisch, sagte Ledingham. "Bei Branchen wie Finanzdienstleistungen geht es ihnen eher um interne Anwendungen, bei denen sie viel Open Source verwenden und ihre Kunden auf Websites verwenden." Sicherheitslücken in den verwendeten Webframeworks sind möglicherweise gefährlich.

Für Technologie- und Softwareunternehmen liegen die Probleme laut Ledingham eher in der Software-Lieferkette. "Viele der Produkte, die sie verkaufen und vertreiben, enthalten möglicherweise viele Open-Source-Inhalte, und viele andere Technologien von Drittanbietern, die dort verwendet werden, enthalten möglicherweise Open-Source-Inhalte." Je mehr Produkte öffentlich verbunden und verwendet werden, desto größer sei die Sorge, sich nicht auf eine anfällige Komponente zu verlassen - beispielsweise auf das In-Dash-Unterhaltungssystem eines Autos, auf das über eine Smartphone-App zugegriffen werden kann.