Misi Black Duck: Mencari kode sumber terbuka yang tidak aman di perusahaan

Dunia open source mencoba untuk lebih proaktif dalam melindungi perangkat lunak dan protokolnya, tetapi apa yang dapat dilakukan perusahaan untuk menentukan apakah kode sumber terbuka dalam basis kode mereka memiliki cacat yang diketahui?

Black Duck Software mencoba menjawab pertanyaan itu dengan Black Duck Hub, sebuah sistem yang memungkinkan pengembang perusahaan dan auditor kode untuk terus mengaudit penggunaan kode sumber terbuka pihak ketiga untuk kerentanan yang diketahui.

Black Duck Hub memindai basis kode yang ada untuk membuat daftar bahan yang mengidentifikasi semua kode sumber terbuka pihak ketiga yang digunakan. Bill of material tidak hanya mengidentifikasi kode dan persyaratan lisensi apa pun yang menyertainya, tetapi juga digunakan oleh Black Duck untuk memverifikasi apakah kode tersebut diketahui memiliki kerentanan, berkat basis pengetahuannya sendiri.

"Untuk setiap komponen yang telah kami pindai, kami memetakan metadata di sekitar lisensi yang dilampirkan ke perangkat lunak, serta apakah ada kerentanan keamanan atau tidak dalam versi tertentu dari komponen itu," kata Bill Ledingham, CTO dan Wakil Presiden eksekutif teknik di Black Duck. 

"Fokus besar untuk produk ini memungkinkan perusahaan untuk dengan mudah memindai kode mereka dengan mengintegrasikan produk ini dengan alat lain dalam infrastruktur mereka," kata Ledingham, mengutip Jenkins sebagai salah satu alat tersebut. Pemindaian dapat dimulai setiap kali kode baru diperiksa dan dibuat untuk basis kode sumber tertentu.

Black Duck menentukan kualitas komponen open source berdasarkan banyak faktor, kata Ledingham. Selain memindai dan mengkorelasikan dengan database yang ada dari kerentanan perangkat lunak yang diketahui, perusahaan mengevaluasi faktor lain yang mungkin mengurangi atau memperburuk kerentanan tertentu - misalnya, apakah aplikasi yang menggunakan kode tersebut ada di Internet publik, seberapa cepat masalah sebelumnya dengan kode yang sama telah dikurangi, dan seterusnya. Dengan cara ini, menurut Ledingham, perusahaan dapat lebih memahami upaya triase dan remediasinya.

Jumlah pelanggan beta Black Duck Hub yang membuat produk open source, daripada hanya menggunakan perangkat lunak secara internal, tergantung pada industri, kata Ledingham. "Dengan industri seperti layanan keuangan, perhatian mereka lebih pada aplikasi internal yang mereka miliki, di mana mereka menggunakan banyak sumber terbuka, dan meminta pelanggan mereka menggunakannya di situs web." Kerentanan dalam kerangka kerja Web yang digunakan berpotensi berbahaya.

Untuk perusahaan teknologi dan perangkat lunak, masalahnya lebih pada rantai pasokan perangkat lunak, menurut Ledingham. "Banyak produk yang mereka jual dan distribusikan mungkin memiliki banyak konten sumber terbuka, dan banyak teknologi pihak ketiga lainnya yang digunakan di sana mungkin memiliki konten sumber terbuka." Semakin banyak produk yang terhubung dan digunakan secara publik, katanya, semakin besar kekhawatiran untuk tidak mengandalkan komponen yang rentan - seperti sistem hiburan di dasbor mobil yang dapat diakses oleh aplikasi smartphone.