تأمين مكونات مفتوحة المصدر الخاص بك مع WhiteSource


كيف WhiteSource معا?

تأسست WhiteSource من قبل ثلاثة مؤسسين عرفوا بعضهم البعض من شركة سابقة تم الاستحواذ عليها من قبل شركة كبيرة في عام 2009. في ذلك الوقت ، كان علينا تقديم حسابات لجميع المكونات مفتوحة المصدر التي كنا نستخدمها في برنامجنا . لم يكن لدينا هذا الحساب ، لذلك اضطررنا إلى الخروج والعثور على كل هذه المكونات وتوابعها وتوابعها الفرعية والترخيص والنسب. وبالتالي ، أنشأنا مراجعة عميقة لكل شيء استخدمناه لإكمال الصفقة.

بفضل الحظ الأعمى ، كنا محظوظين لإيجاد أي مكونات محفوفة بالمخاطر في برنامجنا. ومع ذلك ، فقد حدث لنا أنها كانت عملية محفوفة بالمخاطر وتستغرق الكثير من الوقت دون داع ، على الرغم من أننا لم نفعل أي شيء لم يكن ممارسة شائعة.

كل البرامج التجارية التي يجري تطويرها لها مصدر مفتوح فيها ولا يتم مراقبته بعناية. هذه فجوة كبيرة في السوق ، ولتجسير هذه الفجوة ، بدأنا WhiteSource في عام 2011.

حول هذه الفكرة المتمثلة في توفير تحكم أفضل فيما يتعلق بما هو مفتوح المصدر في البرامج الاحتكارية ، بدأت الشركة بجميع مشكلات بدء التشغيل العادية. بدأنا في حاضنة ، وانتقلنا إلى مبيعات الملعب سوق المنتجات ، واستمرنا في النمو تدريجيا من التمهيد إلى الاعتماد على الذات.

خلال عام 2016 ، تغيرت ديناميات السوق ، وانطلق ظهور الوعي بالأمان والضعف. بدأنا في الحصول على الكثير من الطلب ، أكثر مما يمكننا التعامل معه. في تلك المرحلة من عام 2017 ، حددنا تلك الفرصة ، وبدأنا جولة تمويل. كان يقودها 83North ، وهي عاصمة إسرائيلية بارزة للغاية مع وجود قوي في وادي السيليكون ، وانضمت مايكروسوفت أيضا كمستثمر استراتيجي. منذ ذلك الحين ، واصلنا النمو واليوم ، مع أكثر من 100 موظف و 500 عميل ، لدينا وجود كبير في الولايات المتحدة. لدينا مكاتب في مدينة نيويورك وبوسطن ، ونقوم في الغالب بمبيعات في أمريكا الشمالية ، وفريق للهندسة وتطوير المنتجات موجود هنا في إسرائيل..

ما هو الفريد في WhiteSource?

كان منتجنا هو الأول من نوعه الذي يوفر تحكمًا ورصدًا مستمرًا ومتكاملًا لجميع مكونات المصادر المفتوحة التي يستهلكها مهندسو البرمجيات والمضمنة كجزء من برامجهم التجارية. إنه سهل النشر للغاية وهو عامل خفيف الوزن. يمكنك دمجها في غضون دقائق في خط أنابيبك الحالي. نحن ندعم جميع بيئات التطوير والخوادم ، لذا فإنه قبل دقائق تقريبًا من بدء مشاهدة التقارير والنتائج حول المكونات مفتوحة المصدر التي تستخدمها ، والضعيفة.

لدينا تغطية واسعة لأكثر من 200 لغة برمجة وأطر وبيئات ، وهي الأوسع المتاحة في السوق اليوم. نقسم العالم إلى لغات البرمجة التي توزع المصادر المفتوحة في تنسيق ثنائي وترتيب الفرز ، ونحن نغطي كلا النوعين على نطاق واسع وبدقة.

لدينا نظام دقيق جدا. يمكننا تحديد جميع الملفات مفتوحة المصدر التي تدخل في البرامج التجارية الخاصة بك ومطابقة الملفات الضعيفة. كلاهما ليس مهمة تافهة ، وقمنا بتطوير نظام آلي للقيام بالمطابقة وتحسين تلك العملية لجعل نظامنا دقيقًا للغاية. عندما نقول أن لديك ثغرة أمنية ، لديك بالتأكيد ثغرة أمنية للأسباب التالية:

  1. لا نفوت المكونات ونقاط الضعف.
  2. نحن لا نغرقك بإيجابيات كاذبة.

نحن بصدد إطلاق تحليل الجيل الثالث لبرامجنا ، وهو سوق للمراقبة والإدارة المفتوحة المصدر. لديه القدرة على تحديد في رمز الملكية الخاصة بك أين وكيف يمكنك إجراء مكالمات إلى مكونات مفتوحة المصدر ، ثم تحديد المكالمات في التعليمات البرمجية الخاصة بك والتي تنتهي بالتسبب في ضعف المصدر المفتوح الضعيف. يمكّنك ذلك من تحديد أولويات الثغرات الأمنية التي تريد معالجتها أولاً بناءً على ما إذا كان للمكونات الضعيفة تأثير حقيقي ومباشر على منتجك أم لا. نخبرك بالتحديد عن المكونات المفتوحة المصدر الضعيفة التي لها تأثير مناسب على برنامجك. نحن نسمي هذا التحليل الاستخدام الفعال. نحن نحلل أجزاء المصدر المفتوح التي تؤثر على الشفرة الخاصة بك ، ثم نساعد في تتبعها إلى سطر الشفرة ، مما يسهل التغلب على ثغرة المصدر المفتوح. سيتم إصداره في سبتمبر وقد تم تشغيله في النسخة التجريبية لمدة شهرين والحصول على ملاحظات رائعة ؛ إنها الخطوة الكبيرة التالية في هذا المجال.

ما هي المشكلة مع أمن المصدر المفتوح بدلا من رمز الملكية?

المصدر المفتوح ليس أكثر عرضة للخطر ، بل هو عرضة للخطر بطريقة مختلفة. عندما تكتب أخطاء التعليمات البرمجية الخاصة بك والتي تؤدي إلى وجود ثغرة أمنية ، فأنت الوحيد الذي يعرف عنها. انهم عادة لا تجعلها علنية. لديك السيطرة على التعليمات البرمجية الخاصة بك ، ويمكنك إصلاحه مباشرة وتكون مسؤولة عنه. في الجانب المفتوح المصدر ، ستكون مشكلة عدم الحصانة دائمًا معروفة بشكل عام قبل أن تعرفها ، ومن المؤكد أنك لن تتمكن من حلها بنفسك. يجب عليك الاعتماد على مجتمع المصادر المفتوحة لبدء الإصلاحات والتصحيحات وتنفيذها بالطريقة التي يرشدك بها.

هذه نوعان مختلفان من الثغرات الأمنية التي تتطلب أدوات مختلفة. نقاط الضعف في المصادر المفتوحة أكثر بروزًا وتحظى باهتمام أكبر من المتسللين لأنهم يمكنهم التعرف عليها من مصادر خارجية متاحة للجمهور ومحاولة استغلالها..

كيف ترى مستقبل المصدر المفتوح?

اليوم ، المصدر المفتوح هو بالفعل غالبية المكالمات في التطبيقات التجارية ، وحصة أقلية فقط هي رمز الملكية. في السنوات القليلة القادمة ، ستستخدم فرق هندسة البرمجيات أدوات للتحكم في استخدام المصدر المفتوح قبل كتابة سطر من التعليمات البرمجية ، بالطريقة نفسها التي يفعلون بها الآن لرمز الملكية. سيكون لديهم خوادم وأنظمة مختلفة في المكان. في غضون خمس سنوات ، سيتم إعطاء نفس مستوى التحكم والاهتمام الممنوح لكود الملكية لكود مفتوح المصدر.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

57 + = 67

map