与许多构建软件的企业一样,JDA 的逾 100 个应用程序的组合包含定制代码库、商业和开源组件的组合形式。Forrester 和 Gartner 等分析公司指出,超过 90% 的 IT 组织使用开源软件来处理关键任务,并且在某些应用程序中开源组件可高达 90%。
虽然与私有软件相比,开源中的漏洞数量相对较少,但仅在 2018 年就发现了超过 7,000 个开源漏洞。在过去的二十年里,已经出现了超过 50,000 个开源漏洞。在 Black Duck Audit Services 团队于 2018 年审查的代码库中,60% 的代码库至少包含一个开源漏洞。超过 40% 的代码库包含高风险漏洞,68% 的代码库包含有许可证冲突的组件。
从许可证合规性的角度来看,无论开源许可证是一个广泛使用的许可证,还是一次性的变体,除非组织知道与特定开源组件的使用相关的权利、义务和限制,否则他们无法确定是否遵守这些义务。从理论上来说,不合规的组织可能会失去其私有代码的权利,或者其知识产权的所有权会遭受质疑。
从安全角度来看,所有软件,无论是私有的还是开源的,都具有可能成为安全漏洞的弱点。只有少数开源漏洞,例如那些臭名昭著地影响 Apache Struts 或 OpenSSL 的漏洞,可能会被广泛利用。但是,当这种利用发生时,对开源安全管理的需求就成为热门新闻,就像 2017 年 Equifax 数据安全漏洞一样。
美国参议院调查常设小组委员会的一份报告指出,Equifax 缺乏完整的软件清单是其出现大规模安全漏洞的主要原因。“Equifax 缺乏全面的 IT 资产清单 — 这意味着它对其拥有的资产缺乏全面了解,”报告称,“这使得 Equifax 很难(即使并非不可能)知道其网络上是否存在漏洞。如果无法找到漏洞,则无法修补漏洞。”
我们需要一个解决方案来确保我们跟踪和管理开源和商业组件,作为我们整体软件安全计划的一部分。"
John Vrankovich
|JDA Software
许多公司没有正式管理开发人员对开源的使用,很少公司能生成一个列明开源组件、许可证、版本和补丁状态的最新的准确清单(也称为物料清单 或 BOM)。因此,这些组织会导致自己和客户面临风险。JDA Software 首席架构师 John Vrankovich 说:“在采用 Black Duck 之前,我们的开源管理主要是通过电子表格、开发人员的诚实守信和我们提供关于使用宽松型而非传染型许可的基本指导来完成的。”
“我们有超过一百种产品,其中每种产品本身都有数百种到数千种不同的开源组件。十几年前,对于识别和理解 BOM 中的开源安全漏洞,我们几乎没有任何概念。转向 Black Duck 是为了解决我们在开源安全问题方面的不足。我们认识到,需要一个能够确保跟踪和管理开源和商业组件的解决方案,作为我们整体软件安全计划的一部分。”
JDA 于 2015 年首次实施了 Black Duck Code Center。Code Center 为 JDA 提供开源和其他第三方软件组件的软件组件选择、审批和跟踪。目标是将贯穿所有 JDA 产品和发行的 JDA 技术审查委员会 (TRC) 的审查流程自动化,从安全架构和商业审查,再到最终执行高管的审查。
JDA 在 2017 年增加了 Black Duck 软件组件分析(以前称为 Black Duck Hub)。 的 Black Duck SCA 是管理应用程序和容器中使用开源带来的安全、许可证合规性和代码质量风险的综合解决方案,使组织能够在整个软件供应链和整个应用程序生命周期中控制开源使用情况。Black Duck 使 JDA 能够设置和执行开源使用和安全策略,通过 DevOps 集成来实现策略执行自动化,并对修复活动进行优先级排序和跟踪。
JDA 第三方产品合规项目经理 Meghan Caudill 表示:“我们所有的核心产品都在使用 Code Center。大约三年前,我们在为新开发的 SaaS 原生产品 JDA Luminate 产品线构建 CI/CD 流程时,开始使用 Black Duck SCA。我们的目标是到 2020 年初完全迁移到 Black Duck SCA。”
JDA Software 年运营收入超过 10 亿美元,在过去 30 年中一直是全球领先的供应链提供商。JDA 通过更好地预测和塑造需求、更智能、更快速地满足需求以及改善客户体验和忠诚度,使各公司能够提高其规划、执行和交付的能力。超过 4,000 个全球客户使用 JDA 无与伦比的端到端解决方案组合来缩短其供应链,提高执行速度,并能在获得利润的情况下向客户交付产品。