Black Duck Software是一家對(duì)開源代碼庫掃描和已知軟件漏洞檢測(cè)的軟件開發(fā)公司,正與紅帽公司一起把Black Duck Hub分析工具集成到紅帽的OpenShift PaaS產(chǎn)品。
開源在企業(yè)中的不斷增長,隨之而來還需要明白一件事情,開源并不意味著沒有漏洞。
據(jù) Red Hat和 Black Duck 消息,在合作的第一階段包括掃描使用OpenShift注冊(cè)的全部容器。Black Duck Hub具有“超過10萬著名的開源漏洞詳細(xì)資料涵蓋超過 3500 億行代碼”,并且新的漏洞會(huì)不斷添加到Black Duck Hub。
由于掃描過程的重點(diǎn)是組件而不是整個(gè)應(yīng)用程序,所以它會(huì)分析容器的內(nèi)容,無論它們是第三方應(yīng)用程序還是通過開源組件內(nèi)部創(chuàng)建的。
對(duì)容器安全漏洞的問題一直被社區(qū)議論紛紛。容器是不可變的,這意味著在生產(chǎn)使用時(shí),其中的軟件不被改變。但是這也意味著該軟件的任何缺陷也會(huì)保持不變,除非對(duì)容器手動(dòng)更新。這個(gè)問題會(huì)變的進(jìn)一步復(fù)雜,如果容器因再現(xiàn)性而故意不更新。Black Duck Hub可以對(duì)在需要繼續(xù)使用的老軟件存在的漏洞提供進(jìn)一步了解。
Black Duck 的開源工具最初的設(shè)計(jì)是審核企業(yè)是否無意中在他們的項(xiàng)目中使用違反開源許可的代碼。許可合規(guī)功能依然是Black Duck Hub的一部分,但安全和漏洞掃描現(xiàn)在可以說是更受企業(yè)的關(guān)注。對(duì)許可的討論只會(huì)在開源應(yīng)用程序轉(zhuǎn)化為公共使用時(shí)有影響,但是理論上講漏洞會(huì)影響任何應(yīng)用程序,無論公用還是私用。