【編者的話】black duck software将其black duck hub分析工具內建到紅帽的paas産品中,将緻力于容器安全檢測。
black duck software,一個對開源代碼庫掃描和已知軟體漏洞檢測的軟體開發公司,正與紅帽公司一起把black duck hub分析工具內建到紅帽的openshift paas産品。
開源在企業中的不斷增長,随之而來還需要明白一件事情,開源并不意味着沒有漏洞。
據 red hat 和 black duck 消息,在合作的第一階段包括掃描使用openshift注冊的全部容器。black duck hub具有“超過10萬著名的開源漏洞詳細資料涵蓋超過 3500 億行代碼”,并且新的漏洞會不斷添加到black duck hub。
由于掃描過程的重點是元件而不是整個應用程式,是以它會分析容器的内容,無論它們是第三方應用程式還是通過開源元件内部建立的。
對容器安全漏洞的問題一直被社群議論紛紛。容器是不可變的,這意味着在生産使用時,其中的軟體不被改變。但是這也意味着該軟體的任何缺陷也會保持不變,除非對容器手動更新。這個問題會變的進一步複雜,如果容器因再現性而故意不更新。black duck hub 可以對在需要繼續使用的老軟體存在的漏洞提供進一步了解。
black duck 的開源工具最初的設計是稽核企業是否無意中在他們的項目中使用違反開源許可的代碼。許可合規功能依然是black duck hub的一部分, 但安全和漏洞掃描現在可以說是更受企業的關注。對許可的讨論隻會在開源應用程式轉化為公共使用時有影響,但是理論上講漏洞會影響任何應用程式,無論公用還是私用。
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)