Black Duck Software,一套对开源代码库扫描和已知软件漏洞检测的系统开发公司,正与红帽公司一起把Black Duck Hub分析工具集成到红帽的OpenShift PaaS产品。
开源在企业中的不断增长,随之而来还需要明白一件事情,开源并不意味着没有漏洞。
[InfoWorld推出的Bossies - 今年最好的开源产品。
我通过InfoWorld’s Linux report newsletter跟踪开源领域最新趋势。 ]
据Red Hat和Black Duck,在合作的第一阶段包括扫描使用OpenShift注册的全部容器。
Black Duck Hub具有“超过10万著名的开源漏洞详细资料涵盖超过3500亿行代码”,并且新的漏洞随着被发现会不断添加到Black Duck Hubs。
由于扫描过程的重点是组件而不是整个应用程序,它会分析容器的内容,无论它们是第三方应用程序还是通过开源组件内部创建的。
对容器安全漏洞的疑虑不易消除。容器是不可变的,这意味着在生产使用时,其中的软件不被改变。但是这也意味着该软件的任何缺陷也会保持不变,
除非对容器手动更新。这个问题会变的进一步复杂,如果容器因再现性而故意不更新)。
Black Duck Hub可以对在需要继续使用的老软件存在的漏洞提供进一步了解。
Black Duck的开源工具最初的设计是审核企业是否无意中在他们的项目中使用违反开源许可的代码。
许可合规功能依然是Black Duck Hub的一部分, 但安全和漏洞扫描现在可以说是更受企业的关注。
对许可的讨论只会在开源应用程序转化为公共使用时有影响, 但是理论上讲漏洞会影响任何应用程序,无论公用还是私用。