Qara Ördək Proqramı – Açıq Mənbə Proqram təminatınızın İdarə Edilməsi və Təhlükəsizliyi

Heç kimə sirr deyil ki, açıq mənbəli proqram komponentlərinin istifadəsi çox sürətlə artır. Bu həm gənc başlanğıc şirkətləri, həm də qurulmuş müəssisə inkişaf etdiriciləri üçün doğrudur. Bu açıq mənbə komponentlərini özündə cəmləşdirən inkişaf etdiricilər bu komponentlərin bir çox lisenziyalaşdırma məsələsi və təhlükəsizlik həssaslıqlarının üstündə dayanmalıdırlar. Qara Duck Proqramı 10 ildən çoxdur ki, inkişaf etdiricilərə bu problemləri həll etməyə kömək edir və sənayenin ən açıq mənbəli komponent məlumat bazasını toplayır..

Mike Pittenger, Black Duck Proqramı üzrə Təhlükəsizlik Strategiyası üçün VP ilə söhbətimizdə, Qara Ördək İnformasiya Bazası və bütün məlumatları istifadə edən Hub məhsulunu müzakirə edirik. Qara Duck kod yoxlamaları zamanı ortaya çıxan ən təəccüblü tapıntıları, həmçinin Maykın açıq mənbə cəmiyyətindəki unikal vantage nöqtəsindən gördüyü bəzi tendensiyaları araşdırırıq..

Contents

Zəhmət olmasa özünüz və tarixiniz barədə biraz danışın.

Mən 17 ildir təhlükəsizlik sənayesindəyəm, Authentica və @stake (Symantec şirkəti tərəfindən alınıb) kimi şirkətlərdə işləyirəm. Mən də Veracode-un həmtəsisçisi idim və bu komandanın fəaliyyətini @stake-dən idarə etdim. 2009-cu ildə təhlükəsizlik sahəsində öz marketinq konsaltinq şirkətimə başladım. Qara ördək mənim müştərim idi və bir anda mənə tam vaxta qoşulmağımı təklif etdilər. Şirkətin əla bir məhsulu və mükəmməl bir idarə heyəti var, buna görə bəli dedim və onlara 2015-ci ilin martında bir işçi olaraq qatıldım.

Bunu başa düşdüyüm kimi, şirkətin diqqət mərkəzində olması və məhsul təklifi illər ərzində inkişaf etmişdir. Zəhmət olmasa, təkliflərin spesifikliyinə fikir vermədən əvvəl şirkətin tarixi haqqında məlumat verə bilərsiniz?

Qara Ördək Proqramı 2003-cü ildə qurulmuşdur və növbəti on il ərzində açıq mənbəli lisenziyalara uyğunluq və idarəetmə məsələlərinə yönəlmişdir. Tezliklə kosmosda lider oldu və böyük bir şirkət tərəfindən qəbul edildi, xüsusilə başqa bir proqram şirkəti əldə etməzdən əvvəl lazımi araşdırma apararkən.

2013-cü ildən başlayaraq Black Duck əsas diqqətini açıq mənbəli təhlükəsizlik risklərini idarə etməyə yönəltdi və 2015-ci ildə ən böyük məhsulumuz olan Black Duck Hub-u buraxdıq..

Qara Ördək Hubu nədir?

Qara Duck Hub tam açıq mənbə idarəetmə vasitəsidir. Əsas mənbəyində, açıq mənbə komponentlərinin hamısını tapmaq üçün bir layihənin mənbə kodunu skan edir. Daha sonra açıq mənbə bilik bazasında müvafiq zəifliklər axtarır. Qara Ördək Bilik bazası, sənayenin açıq mənbə məlumatlarının ən geniş məlumat bazasıdır. Hal-hazırda, əhatə dairəsi daxil olmaqla, son 10 ildə tərtib edilmiş 2.5 milyondan çox unikal layihəni izləyirik:

  • Zəiflik
  • Tam lisenziya mətnləri və öhdəlik
  • İcma fəaliyyəti

Bu gün ortalama bir proqram tətbiqetməsində təxminən 150 unikal açıq mənbə komponentini xəritəyə gətirən 35% açıq mənbə kodu ehtiva etdiyini gördük. Bu rəqəmlər sürətlə artır.

Hər il 3000-dən çox açıq mənbə açığı olduğu bildirilir. Ənənəvi proqram testi və avtomatlaşdırılmış təhlükəsizlik test alətləri bu zəiflikləri tapmaqda təsirli deyildir.

Düşdüyümüz riskləri aşağıdakı kimi təsvir edirik:

  • Təhlükəsizlik riski – Açıq mənbə komponentlərində bildirilən zəifliklər haqqında məlumat vermək. Bu məlumat NİST (Milli Standartlar və Texnologiya İnstitutu) Milli Zərərlilik Məlumat bazası, eləcə də Qara Ördəyin nəzarət etdiyi onlarla digər mənbədən gəlir..
  • Lisenziya riski – Bu, müştərilərə müəyyən bir tətbiq üçün yerləşdirmə modelinə uyğun olmayan açıq mənbəli lisenziyalar haqqında məlumat verir (məsələn, GPL lisenziyasından istifadə edərək paylanmış bir proqram tətbiqi)..
  • Əməliyyat riski – Açıq mənbə layihəsinin nə qədər dəstəkləndiyinə dair bir metrik – töhfə verənlərin sayı, son bir il ərzində verilənlərin sayı, daha yeni versiyaların mövcud olub-olmaması. Məqsəd müştərilərə cəmiyyət tərəfindən effektiv şəkildə sona çatan açıq mənbədən istifadə etməmək üçün kömək etməkdir.

qara ördək lisenziyasından istifadə

Deyəsən hər şey sizin məlumat bazanıza əsaslanır – düzgün? Bu necə başladı və necə qorunur?

Bəli, Hub açarı olan Qara Ördək Məlumat Bazası və onun üzərində 50 nəfər çalışırıq. Biz bu şirkətə 2002-ci ildə şirkət yarandıqdan sonra başlamışıq və bu gündən bəri inkişaf etdiririk. İlk günlərdə KB-yə əlavə etdiyimiz bir çox komponent artıq ictimaiyyət üçün açıq deyildir, bu da bu komponentləri izləmək qabiliyyətində olan KB-inizi unikal edir. Gündəlik açıq mənbəli proqram təminatlarının yeni buraxılışları üçün təxminən 8500 fərqli saytı izləyirik. Gündə iki dəfə komponent məlumatlarını yeniləyirik və yeniləyirik hər saat zəiflik məlumatları.

Bir il əvvəl Açıq Mənbə Araşdırma Mərkəzi yaratdıq & Yenilik (COSRI). Məqsəd açıq mənbəli ekosistemin canlı və etibarlı qalmasını təmin etmək üçün qabaqcıl tədqiqat, innovasiya, məlumat və təhsil verməkdir..

COSRI üçün bir neçə komponent var. Qara Ördək İnformasiya Bazasına əlavə olaraq, mənbə kodu elementlərini daha dəqiq müəyyənləşdirmək üçün maşın öyrənməsinə və digər inkişaf etmiş texnikalara diqqət yetirən bir qrup var. Açıq mənbə kodu və layihələrini tapmaq, qiymətləndirmək, izləmək və müqayisə etmək üçün pulsuz və açıq mənbə proqramlarının onlayn birliyi və ictimai qovluğu olan Qara Ördək Açıq Hubu da mövcuddur. Açıq Hub-da 350.000 qeydiyyatdan keçmiş istifadəçi var və vikiyə bənzər hər kəs tərəfindən redaktə edilə bilər.

Təklif etdiyiniz DevOps inteqrasiyaları nədir?

İnanırıq ki, Hub’un mənbə kodunu taramasını bir layihənin qurulma prosesinə birləşdirmək daha yaxşıdır. Bunu təmin etmək üçün, qurma prosesinin bütün mərhələləri üçün populyar vasitələrdə inteqrasiya hazırladıq. Bu inteqrasiyaların hamısını müştərilərimizə pulsuz olaraq təqdim edirik və onların əksəriyyətini açıq mənbə proqramı kimi təqdim etdik.

qara ördək birləşmələri

Kod yoxlamasının bir neçə növünü təklif edirsiniz – bunlar nədir? Bu yoxlamalarda gördüyünüz ən böyük sürprizlər nələr oldu?

Bunlar “Tələb üzrə Qara Ördək” adlandırdığımız birdəfəlik yoxlamalardır. Bunlar adətən lazımi bir araşdırma zamanı bir şirkət tərəfindən tələb olunur və aşağıdakı audit növlərindən birini və ya bir neçəsini əhatə edir:

  • Açıq Mənbə Auditi
  • Açıq Mənbə Təhlükəsizlik Auditi
  • Kod keyfiyyətinin təhlili
  • Şifrələmə yoxlaması

Təhlükəsizlik baxımından mənim üçün ən böyük sürpriz, açıq mənbəli proqram təminatından istifadə edən bütün tətbiqlərin 2/3-nin həmin proqramda zəifliklərin olmasıdır. Orta hesabla bir tətbiqdə 27 həssaslıq tapdıq. Bəlkə də daha çox təəccübləndirən budur ki, zəifliyin orta yaşı – zəifliyin açıqlanmasına qədər auditin vaxtı – 4 ildən çox idi! Bəziləri hətta 9-12 yaşlarında idi.

qara ördək yoxlamaları

Bazarınızı necə müəyyənləşdirirsiniz? Həmin bazarda sizin xüsusi hədəf auditoriyanız kimdir?

Hub məhsulumuz üçün bir qayda olaraq şirkətin CTO (Baş Texnologiya Məmuru) və ya CSO (Baş Təhlükəsizlik Mütəxəssisi) ilə təhlükəsizlik aspektləri və şirkətin lisenziyalaşdırma məsələlərinə dair daxili məsləhətçisi ilə işləyirik..

Audit xidmətlərimiz üçün biz adətən kapital şirkətləri və ya digər şirkətlər və ya proqram aktivləri əldə edən şirkətlərlə işləyirik.

Bu gün neçə aktiv müştəriniz var? Əsasən harada yerləşirlər?

İndi ABŞ-da mərkəzləşmiş 2000 mindən çox müştərimiz var. Avropada, Yaxın Şərqdə və Asiya-Sakit okean bölgəsində də güclü bir iştirakımız var.

Cari tipik müştərinizi necə təsvir edərdiniz?

Dəyişir. Kommersiya proqram məhsulları istehsal edən ISV (Müstəqil Proqram Satıcıları) olan bir çox müştərimiz var. Öz istifadəsi üçün çox sayda proqram yazan bir çox müəssisə müştərimiz var, məsələn maliyyə xidmətləri, sığorta şirkətləri və texnoloji şirkətlər.

Ən böyük müştəriləriniz kimlərdir?

Fəxrlə söyləyirik ki, müştərilərimizin siyahısına dünyanın ən böyük şirkətlərindən bəziləri daxildir:

  • Intel
  • JPMorgan Chase
  • Nintendo
  • Samsung
  • SAP
  • ElmLogik

Əsas rəqibləriniz kimi kimləri görürsünüz? Sən necə fərqlisən?

Son bir neçə ildə bir neçə yeni şirkətin qurulma prosesində hansı proqram komponentlərinin elan olunduğuna baxaraq bu problemi həll etməyə çalışdıq..

Açıq mənbə komponentlərini və potensial zəiflikləri müəyyənləşdirmək üçün üç istiqamətli bir yanaşma tətbiq edirik:

  1. Paket meneceri bəyannamələri
  2. Hansı komponentlər əslində istifadə olunur
  3. Keçid asılılığı

Ümumi açıq mənbəli birliyi görmək üçün özünəməxsus bir yeriniz var. Açıq mənbə proqram təminatından istifadə edən şirkətlər baxımından hansı dəyişiklik və meylləri görürsünüz?

Açıq mənbə proqram təminatından istifadə edən şirkətlərin sayında ciddi artım müşahidə edirik. Bəlkə də bir az təəccüblü olanı, proqram təminatını açıq mənbəli cəmiyyətə daha çox töhfə verən şirkətlərin daha çox getdiyini görürük. Bu çox vacibdir, çünki güclü bir cəmiyyəti təmin edir və həm böyüməyi, həm də dəstək verir.

Bunun üçün nömrələr qoymaq üçün, icazə verin, son bir neçə ildə neçə açıq mənbə layihəsini izlədik:

20131 milyon
20151,5 milyon
20172,5 milyon

Xüsusilə başlanğıc və açıq mənbə proqramı ilə əlaqəli bir şey gördünüzmü??

Həyata keçirdiyimiz yoxlamalardan bir çox startap görürəm. Bu gün startaplar məhsullarının yarısını qədər yaratmaq üçün açıq mənbə proqramlarından istifadə edirlər. Bu, daha sürətli bazara çıxmağa və inkişaf xərclərini azaltmağa imkan verir. Sürət və xərc qənaətinin birləşməsi açıq mənbəli proqram təminatından istifadə üçün güclü bir motivasiyadır.

Önümüzdəki illərdə inkişaf edən təhlükəsizlik və açıq mənbə proqramlarını necə görürsünüz??

Bu elementlərin hər ikisinin artan məlumatlılığı var və onlar çox diqqət çəkirlər. Diqqəti cəlb edən yalnız zəifliklər deyil, həll yolları da yaxşı böyüyür. Şirkətlər getdikcə problemlər barədə məlumat verməkdənsə, problemlərin həlli üçün tədbirlər görürlər.

Qara Ördək üçün gələcək planlarınız nələrdir?

Qara ördək açıq mənbəli idarəetmə və təhlükəsizlik sahəsində lider olmağa səy göstərməyə davam edəcəkdir. Bu, sadəcə açıq mənbə komponentlərini müəyyənləşdirməkdən daha yüksəkdir. Buraya müştərilərin iş ehtiyaclarına cavab verən açıq mənbə kodundan istifadə etmələrini təmin etmək, habelə riskə qarşı iştahası (məsələn, sıfır zəifliklər hər tətbiq üçün məqsəd deyildir) daxildir.

Bu gün neçə işçiniz var? Harada yerləşirlər?

Qara ördəyin 300-dən çox işçisi var. Çoxu bizim Burlington, MA qərargahımızda yerləşir. Böyük Britaniyanın Belfastdakı ofisimiz, Theale, UK və San Jose, CA-dakı ofisləri yaxından təqib edən ikinci ən böyük ofisimizdir. Bundan əlavə, Çin, Tayvan və Avropanın bir neçə yerində ofislərimiz var.

Şirkət adı Black Duck necə meydana gəldi?

Bu, ən çox verilən sual budur … [gülür]. Qara ördək qurucunun uşaqlıq heyvanı adını aldı.

 

İşləməyəndə nə etməyi sevirsən?

Hobbim balıqçılıq, velosiped sürmək və ağac eməkdir.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me