Black Duck Software是一家对开源代码库扫描和已知软件漏洞检测的软件开发公司,正与红帽公司一起把Black Duck Hub分析工具集成到红帽的OpenShift PaaS产品。
开源在企业中的不断增长,随之而来还需要明白一件事情,开源并不意味着没有漏洞。
据 Red Hat 和 Black Duck 消息,在合作的第一阶段包括扫描使用OpenShift注册的全部容器。Black Duck Hub具有“超过10万著名的开源漏洞详细资料涵盖超过 3500 亿行代码”,并且新的漏洞会不断添加到Black Duck Hub。
由于扫描过程的重点是组件而不是整个应用程序,所以它会分析容器的内容,无论它们是第三方应用程序还是通过开源组件内部创建的。
对容器安全漏洞的问题一直被社区议论纷纷。容器是不可变的,这意味着在生产使用时,其中的软件不被改变。但是这也意味着该软件的任何缺陷也会保持不变,除非对容器手动更新。这个问题会变的进一步复杂,如果容器因再现性而故意不更新。Black Duck Hub可以对在需要继续使用的老软件存在的漏洞提供进一步了解。
Black Duck 的开源工具最初的设计是审核企业是否无意中在他们的项目中使用违反开源许可的代码。许可合规功能依然是Black Duck Hub的一部分,但安全和漏洞扫描现在可以说是更受企业的关注。对许可的讨论只会在开源应用程序转化为公共使用时有影响,但是理论上讲漏洞会影响任何应用程序,无论公用还是私用。
作者:朱高校
来源:51CTO
