Black Duck Software是一家對開源代碼庫掃描和已知軟件漏洞檢測的軟件開發(fā)公司,正與紅帽公司一起把Black Duck Hub分析工具集成到紅帽的OpenShift PaaS產品。
開源在企業(yè)中的不斷增長,隨之而來還需要明白一件事情,開源并不意味著沒有漏洞。
據 Red Hat和 Black Duck 消息,在合作的第一階段包括掃描使用OpenShift注冊的全部容器。Black Duck Hub具有“超過10萬著名的開源漏洞詳細資料涵蓋超過 3500 億行代碼”,并且新的漏洞會不斷添加到Black Duck Hub。
由于掃描過程的重點是組件而不是整個應用程序,所以它會分析容器的內容,無論它們是第三方應用程序還是通過開源組件內部創(chuàng)建的。
對容器安全漏洞的問題一直被社區(qū)議論紛紛。容器是不可變的,這意味著在生產使用時,其中的軟件不被改變。但是這也意味著該軟件的任何缺陷也會保持不變,除非對容器手動更新。這個問題會變的進一步復雜,如果容器因再現性而故意不更新。Black Duck Hub可以對在需要繼續(xù)使用的老軟件存在的漏洞提供進一步了解。
Black Duck 的開源工具最初的設計是審核企業(yè)是否無意中在他們的項目中使用違反開源許可的代碼。許可合規(guī)功能依然是Black Duck Hub的一部分,但安全和漏洞掃描現在可以說是更受企業(yè)的關注。對許可的討論只會在開源應用程序轉化為公共使用時有影響,但是理論上講漏洞會影響任何應用程序,無論公用還是私用。
京公網安備 11010502049343號