La misión de Black Duck: buscar código fuente abierto inseguro en la empresa

El mundo del código abierto está tratando de ser más proactivo en la protección de su software y protocolos, pero ¿qué pueden hacer las empresas para determinar si el código fuente abierto en su base de código tiene un defecto conocido?

Black Duck Software intenta abordar esa pregunta con Black Duck Hub, un sistema que permite a los desarrolladores empresariales y auditores de código auditar continuamente el uso de código fuente abierto de terceros en busca de vulnerabilidades conocidas.

Black Duck Hub escanea las bases de código existentes para crear una lista de materiales que identifica todo el código fuente abierto de terceros utilizado. La lista de materiales no solo identifica el código y los requisitos de licencia que lo acompañan, sino que también la utiliza Black Duck para verificar si el código tiene vulnerabilidades conocidas, cortesía de su propia base de conocimientos.

"Para cada uno de los componentes que hemos escaneado, estamos mapeando metadatos alrededor de las licencias adjuntas al software, así como si hay o no vulnerabilidades de seguridad en esa versión particular de ese componente", dijo Bill Ledingham, CTO vicepresidente ejecutivo de ingeniería en Black Duck. 

"Un gran enfoque para el producto es permitir a las empresas escanear fácilmente su código al tener integraciones de este producto con otras herramientas en su infraestructura", dijo Ledingham, citando a Jenkins como una de esas herramientas. Los análisis se pueden iniciar cada vez que se registra un nuevo código y se crea para una base de código fuente determinada.

Black Duck determina la calidad de un componente de código abierto determinado basándose en múltiples factores, dijo Ledingham. Además de escanear y correlacionar con las bases de datos existentes de vulnerabilidades de software conocidas, la empresa evalúa otros factores que podrían mitigar o agravar una vulnerabilidad determinada, por ejemplo, si la aplicación que usa el código está en la Internet pública, qué tan rápido problemas anteriores con el mismo código se ha mitigado, y así sucesivamente. De esta manera, afirma Ledingham, una empresa puede dar más sentido a sus esfuerzos de clasificación y remediación.

La cantidad de clientes beta de Black Duck Hub que están creando productos de código abierto, en lugar de usar el software solo internamente, es específica de la industria, dijo Ledingham. "Con industrias como los servicios financieros, su preocupación se centra más en las aplicaciones internas que tienen, donde usan mucho código abierto y sus clientes las usan en sitios web". Las vulnerabilidades en los marcos web utilizados son potencialmente peligrosas.

Para las empresas de tecnología y software, los problemas están más en la cadena de suministro de software, según Ledingham. "Muchos de los productos que venden y distribuyen pueden tener mucho contenido de código abierto, y muchas otras tecnologías de terceros que se utilizan allí pueden tener contenido de código abierto". Mientras más productos se conecten y utilicen públicamente, dijo, mayor será la preocupación de no depender de un componente vulnerable, como el sistema de entretenimiento en el tablero de un automóvil al que se puede acceder mediante una aplicación de teléfono inteligente.