Не секрет, что Open Source-продукты (СПО) становятся все популярнее в корпоративной среде. Различные организации, будь то сервисные компании, производственные предприятия или банки, внедряют СПО с целью снижения затрат на разработку, ускорения выпуска продуктов или упрощения развертывания приложений с использованием контейнеров. Поспевать за насущными потребностями бизнеса теперь уже не так сложно. Однако корпоративных пользователей неизменно волнует и будет продолжать тревожить другая сторона СПО — безопасность. С 2014 г. стало известно о шести с лишним тысячах новых уязвимостей СПО. По данным разных опросов, 98% компаний даже не знает, что у них используется ПО с открытым исходным кодом. Поэтому само собой разумеется, что предприятия слабо разбираются в том, как защититься от этой растущей угрозы. У большинства организаций отсутствуют автоматизированные процессы отбора и одобрения нового свободного ПО, а также его инвентаризации и контроля за использованием такого ПО в их кодовой базе и Linux-контейнерах. Еще одной проблемой многих организаций с ростом использования СПО становится идентификация и/или мониторинг известных уязвимостей Open Source (типа Heartbleed и ShellShock). Мы предлагаем ряд советов, которые в нынешнем году следует учитывать организациям для предотвращения неприятных инцидентов с СПО. Они основаны на интервью портала eWeek с представителями компании Black Duck, которая поставляет ПО, идентифицирующее компоненты СПО и отображающее известные уязвимости свободного кода.
