Компания Black Duck Software представила новую платформу безопасности для ПО с открытым исходным кодом, которая поможет группам разработчиков и специалистов по безопасности находить и устранять уязвимости свободного кода.
Платформа Black Duck Hub поможет пользователям идентифицировать компоненты Open Source, используемые внутри их кода, выявлять известные уязвимости безопасности, а затем устанавливать приоритеты и графики их устранения и отслеживать этот процесс.
«У большинства компаний нет автоматизированного механизма для идентификации нового открытого исходного кода при его внесении в кодовую базу, — сказал Билл Ледингем, исполнительный вице-президент и директор по технологиям Black Duck Software. — Кроме того, они не могут определять реальный риск и влияние существующих уязвимостей. Без этого знания компании не имеют возможностей сортировать уязвимости по степени риска и контролировать во времени процесс работы по их устранению. Black Duck Hub будет помогать разработчикам и специалистам по безопасности выявлять и нивелировать риски, связанные с открытым исходным кодом, во всем портфеле приложений». По оценкам Black Duck, у большинства предприятий в среднем свыше 30% развернутого ПО относится к категории Open Source. Однако лишь немногие организации хорошо представляют, какой они используют открытый код и где именно. Поскольку ежегодно сообщается о более чем четырех тысячах новых уязвимостей открытого исходного кода, организациям критически важно понимать, какой свободный код используется в их системах.
При этом тысячи неизвестных уязвимостей свободного кода в большинстве случаев остаются незамеченными. Black Duck Hub распознает, как используется открытый исходный код, отображает его известные уязвимости и отслеживает работу по их устранению. Black Duck Hub использует базу знаний Black Duck KnowledgeBase с данными по лицензиям и уязвимостям.
Black Duck Hub функционирует как часть процесса сборки, автоматически обнаруживая и идентифицируя Open Source по мере его внесения в поток кода и помечая библиотеки открытого исходного кода, имеющие известные уязвимости. При оценке риска приложений и всего их портфеля используется детальная информация об уязвимостях вместе со сведениями о лицензиях и оценками рисков, связанных с деятельностью сообществ. Функции же планирования и отслеживания работы дают специалистам по безопасности гарантии, что критически важные уязвимости будут устранены.
За несколько дней до представления Black Duck Hub компания сообщила, что взяла на работу эксперта в области безопасности Майкла Питтенджера, который становится ее вице-президентом по стратегии. Питтенджер сконцентрирует внимание на решениях, связанных с безопасностью. Он пришел в Black Duck, имея за плечами больше 30 лет опыта в ИТ-бизнесе. Питтенджер занимал высокие должности в ведущих компаниях сферы безопасности, включая Cigital, @stake и Savant Protection, и был сооснователем Veracode. Последние пять лет Питтенджер был владельцем и независимым бизнес-консультантом фирмы Caddis Advisors, где специализировался на работе с компаниями, действующими на рынке безопасности, помогая им выводить на рынок новые технологии, выявлять новые возможности для бизнеса, разрабатывать стратегии продаж и маркетингового позиционирования и решать сопутствующие вопросы.
«Высокая отраслевая квалификация и опыт Питтенджера в области безопасности помогут нам продолжать поставлять решения, которые будут помогать компаниям нивелировать риски безопасности, связанные с использованием свободного ПО, — заявил Лу Шипли, президент и исполнительный директор Black Duck Software. — Приход Майка в нашу команду позволит нам и далее разрабатывать новаторские подходы к проблемам безопасности свободного ПО, а также заключать ключевые отраслевые партнерские соглашения с другими важными поставщиками технологий безопасности».