Black Duck Logo

掌控程式碼中的Open Source風險

About Black Duck Software

Black Duck Software是一家位於美國的資訊安全公司,早在十多年前,Black Duck Software的創辦人就意識到Open Source日益廣泛使用所可能造成的風險與威脅,因此創辦了Black Duck Software這樣一間專注於軟體開發Open Source風險管控的公司。

 

Black Duck Software擁有以下特點,協助您管控Open Source風險:

自動識別
Open Source

提供自動識別Open Source的分析能力,並將識別出來的Open Source進行資產化管理

Open Source
知識庫

提供最全面的Open Source知識庫(KnowledgeBase™),能夠自動對應Open Source的已知漏洞(Known Vulnerabilities)與授權條款之權利義務

DevOps
廣泛整合

與最流行的DevOps與資安工具(包含: IBM AppScan, HP Fortify, Docker, Red Hat Atomic, Jenkins, and Atlassian)整合,能夠簡化並保護開發流程中的持續整合(CI)/持續佈署(CD)活動

管理政策
制定與實施

幫助您的團隊制定政策(Policies)以管理Open Source安全性、授權和程式品質風險,透過Build Tools的整合來貫徹政策的實施(enforcement),並透過企業內部的IT HelpDesk來管理修補(Remediation)工作

持續監控
即時告警

持續監控現有使用的Open Source狀態,並即時提供最新的Open Source漏洞警報

Black Duck Hub

利用Black Duck Hub來找尋Open Source漏洞

Black Duck Hub可以協助資安團隊與開發團隊從龐大的應用程式系統中找出Open Source的漏洞並降低可能造成的相關威脅。

Black Duck Hub是一個非常輕量化的掃描工具,同時也提供Open Source追蹤與監控的功能,可以說是Open Source風險管控的最佳解決方案:

  • 在您的程式碼中識別Open Source
  • 自動對應已知的漏洞(Known Vulnerabilities)到有使用的Open Source中
  • 標記違反政策(Security, License)的Open Source並追蹤修補(Remediation)進度
  • 持續監控您所使用的Open Source並可即時通知最新發現的漏洞
IDENTIFY

IDENTIFY - 識別您的Open Source使用狀況

  • 自動識別出程式碼以及Containers中所使用到的Open Source
  • 依據所使用到的Open Source自動對應已知的Open Source漏洞
  • 評估軟體授權(License)條款與開發社群活動(Activities)所潛藏的風險
REMEDIATE

REMEDIATE - 修補您的Open Source漏洞

  • 查看風險指標與漏洞的影響
  • 評估影響並確認優先等級
  • 提供修補建議措施並追蹤進度
CONTROL

CONTROL - 掌控您的Open Source風險

  • 關注您使用到的Open Source最新漏洞
  • 建立Open Source使用政策並強制執行
  • 管理使用請求許可與例外狀況處理

確保程式中的Open Source風險性

除了Open Source漏洞所帶來的安全風險外、Open Source的授權方式以及使用狀況,也是另一個值得注意的風險管控層面。

Security Risk - 安全風險

Open Source的漏洞所可能引起的風險,可能造成應用系統不穩定,甚至是被入侵到系統內部。由於Open Source開放、共享的特性,造就了許許多多的Open Source可能都源自於某一個Open Source。

若是某天這個Open Source剛好被發現了漏洞,將可能影響到所有與這個Open Source相關的其他Open Source也有同樣的漏洞,如此造成的安全風險必須適當的被管理、控制,企業也必須有監視的能力去發掘Open Source所帶來的安全風險(Security Risk)。

就像2014年有名的案例:OpenSSL的Heartbleed (CVE-2014-0160)。

由於免費的OpenSSL被大量廣泛的使用在各種需要處理SSL的應用系統上,因此當這樣的基礎Open Source元件發現漏洞,其牽連範圍與可能造成的損失與危害是非常可怕的!

License Risk - 授權風險

基於Open Source的精神,所有的Open Source程式都會宣告其使用授權條款(License)為何,比較為人所知的如:GPL、Apache、MIT、BSD或是LGPL等,這些授權條款當中,會說明使用者所擁有的權利與應盡的義務,需要使用該Open Source的人去遵守,例如:

  • BSD鼓勵Open Source共享,但需要尊重該Open Source作者的著作權,允許使用者修改和重新發佈Open Source,就算是商業軟體也沒有問題。
  • GPL的出發點是要求Open Source的開放、免費使用,但不允許作為商業軟體來銷售,且若是您的應用系統使用了宣告GPL授權方式的Open Source,則您的應用系統也得Open Source且不得銷售。
  • Apache與BSD類似,也是鼓勵Open Source共享以及尊重原作者的著作權,同樣允許修改、再發佈。

因此,若是企業在使用Open Source的過程中,沒有注意到授權條款的說明與要求,就可能產生授權風險(License Risk),嚴重的話,或許整個企業都得Open了!

Operational Risk - 維運風險

當企業越來越廣泛的使用Open Source,是否能夠隨時了解到所使用的Open Source的開發狀態?例如:

  • 是否已有新版本?
  • 是否仍有人在維護?
  • 其使用的人數多不多?
  • 是否有社群力量在支持?
  • 是否已經很久沒有更新版本了?
  • 是否您所使用的版本有漏洞,而該Open Source早已推出新版本?

諸如此類的問題,身為負責企業內部Open Source風險管控的管理者,必須有能力知道!

Black Duck Hub能夠同時提供上述三種風險的相關資訊。

協助您企業內部的Open Source風險管控!

世界上最全面的Open Source知識庫

Black Duck® KnowledgeBase™ 是業界最全面的Open Source知識庫(KB)!
Black Duck KB收錄了超過10年的資料,來自超過9000個網站2百萬個軟體專案以及530億行程式碼,含括70種以上的程式語言超過79,000個漏洞,以及2,500多種軟體授權條款(License)的詳細資料,包括完整的軟體使用授權說明和數十種使用授權的屬性、使用權利與義務等,並且持續不斷的添加新的Open Source軟體專案的相關資訊以及漏洞資訊到Black Duck KB當中。

VulnDB: 提升OpenSource漏洞的洞察力

多數Open Source檢查工具僅提供National Vulnerability Database (NVD)的漏洞資料,NVD是依據Common Vulnerabilities and Exposures (CVE®)的命名方式來記載這些漏洞,看似擁有兩種漏洞資料庫(NVD & CVE),其實只有使用NVD一個漏洞資料庫而已。

而Black Duck Hub除了使用NVD漏洞資料庫之外,同時提供使用者直接查看VulnDB的資訊,VulnDB是由另一家資安公司RiskBased Security所管理、維護並提供服務的一個漏洞情報資料庫,Black Duck Hub透過NVD以及VulnDB提供給使用者更快速、更詳細的Open Source漏洞威脅資訊!

系統內建

Black Duck Hub直接系統內建
VulnDB知識庫,毋須另外採購

數量更勝

VulnDB所記載之漏洞數量
比NVD還要多40%

發佈迅速

漏洞公佈速度比NVD快
(最快曾經比NVD快三週)

深入剖析

漏洞分析比NVD深入且完整
並提供更詳細的建議修補措施