Главная / Вендоры / WhiteSource / Open Source Security

Безопасность Open Source компонентов

Вы прикладываете все усилия, чтобы обеспечить устойчивость к уязвимостям вашего собственного кода, но кто позаботится о безопасности используемых компонентов с открытым кодом?

Будучи первым автоматическим и непрерывным решением обеспечения безопасности открытого кода, WhiteSource собрал самую большую и полную базу данных об известных уязвимостях open source для обнаружения и оповещения об уязвимых open source компонентах в вашем продукте.

Точное обнаружение компонентов с открытым кодом

Точность обнаружения – обоюдоострый меч. Вы хотите решение, которое найдет все компоненты, но не можете себе позволить тратить время (и деньги!) на анализ многочисленных ошибочных совпадений из-за этой самой точности. 

Компания WhiteSource разработала собственный алгоритм, который обнаруживает уязвимости только там, где они есть. Поиск происходит автоматически в отличие от большинства решений наших конкурентов. Таким образом, решение WhiteSource гарантирует отсутствие ошибочных совпадений, а значит, вы сможете сконцентрироваться только на реальных проблемах, требующих  вашего внимания.

Полная база уязвимостей

Основным и наиболее организованным источником open source уязвимостей является NVD – National Vulnerability Database (Национальная база данных уязвимостей США). Тем не менее, как сказал Эрик Реймонд, «open source сообщество похоже на шумный базар», где код разрабатывается на виду сообщества, поэтому нельзя полагаться на один источник.  

Временами сообщения об open source уязвимостях публикуются в баг-трекерах или в советах по безопасности до или вместо публикации в NVD. Следовательно, требуется решение, которое отслеживало бы также и эти источники и уведомляло бы об уязвимостях в момент их обнаружения.

WhiteSource непрерывно отслеживает не только базу данных NVD, но и советы по безопасности (например, RubyOnRails Security, RetireJS и другие), систему отслеживания ошибок GitHub и баг-трекеры open source проектов для обнаружения всех публикаций об уязвимостях сразу же после их выпуска

open_source_security_page

Поддержка языков

Решение WhiteSource поддерживает свыше 20 языков программирования, включая исходный код. В решении реализована поддержка контейнеров Docker и обнаружение уязвимостей как в самом контейнере, так и в продукте, развернутом в нем. 

В результате такой широкой поддержки источников наша база данных уязвимостей содержит свыше 176 тысяч записей, что в два раза больше, чем у наших конкурентов.

languages_white_wide

Практические советы по устранению уязвимостей

Решение WhiteSource не только уведомляет вас об обнаружении новой уязвимости, но и предлагает практические рекомендации по их устранению. Вас обеспечивают ссылками на исправления, конкретными исходными файлами и более новыми версиями, которые исправляют ошибку, а также рекомендациями по изменению кода, чтобы блокировать уязвимости. Мы также предлагаем изменения в конфигурации системы, которые позволят блокировать вредоносные коды. 

Время обнаружения уязвимостей

Чем раньше вы перехватите уязвимость, тем легче и дешевле ее исправлять. Следовательно, необходимо решение, которое будет отслеживать уязвимости в момент добавления в сборку или в момент публикации сообщения об уязвимости в вашем компоненте. Решение WhiteSource интегрируется с CI серверами, инструментами сборки и даже репозиториями GitHub и JFrog Artifactory и оперативно предупреждает о попытке добавить уязвимый компонент. Вместе с решением компания WhiteSource предлагает  своим клиентам плагин к браузеру ►, который помогает разработчикам отбирать компоненты без уязвимостей перед запуском сборки. И даже после релиза продукта WhiteSource продолжает проводить мониторинг ваших продуктов и уведомлять об обнаружении безопасности в устаревшей версии продукта. Кроме того, WhiteSource непрерывно отслеживает многочисленные базы данных уязвимостей для обнаружений уведомлений об уязвимостях в момент их публикации.

Политика безопасности open source

Не нужно думать о безопасности ваших open source компонентов – решение WhiteSource уже позаботилось об этом! WhiteSource гарантирует безопасность всех компонентов с открытым кодом в вашем продукте на всем протяжении жизненного цикла приложения. Предлагаемое решение оперативно уведомляет вас о проблемах, требующих вашего внимания, позволяет автоматически выполнять ваши настроенные политики безопасности и даже позволяет при необходимости декомпилировать сборку. Одним щелчком мыши вы генерируете полный всесторонний отчет, который поможет управлять использованием открытого кода. 

WhiteSource – законченное (полное) решение для обеспечения безопасности ваших open source компонентов.