开源存在漏洞 红帽团队联合Black Duck为容器安全保驾护航

Black Duck Software是一家对开源代码库扫描和已知软件漏洞检测的软件开发公司,正与红帽公司一起把Black Duck Hub分析工具集成到红帽的OpenShift PaaS产品。

开源在企业中的不断增长,随之而来还需要明白一件事情,开源并不意味着没有漏洞。

据 Red Hat 和 Black Duck 消息,在合作的第一阶段包括扫描使用OpenShift注册的全部容器。Black Duck Hub具有“超过10万著名的开源漏洞详细资料涵盖超过 3500 亿行代码”,并且新的漏洞会不断添加到Black Duck Hub。

由于扫描过程的重点是组件而不是整个应用程序,所以它会分析容器的内容,无论它们是第三方应用程序还是通过开源组件内部创建的。

对容器安全漏洞的问题一直被社区议论纷纷。容器是不可变的,这意味着在生产使用时,其中的软件不被改变。但是这也意味着该软件的任何缺陷也会保持不变,除非对容器手动更新。这个问题会变的进一步复杂,如果容器因再现性而故意不更新。Black Duck Hub可以对在需要继续使用的老软件存在的漏洞提供进一步了解。

Black Duck 的开源工具最初的设计是审核企业是否无意中在他们的项目中使用违反开源许可的代码。许可合规功能依然是Black Duck Hub的一部分,但安全和漏洞扫描现在可以说是更受企业的关注。对许可的讨论只会在开源应用程序转化为公共使用时有影响,但是理论上讲漏洞会影响任何应用程序,无论公用还是私用。

作者:朱高校

来源:51CTO

时间: 2024-09-20 01:05:58

开源存在漏洞 红帽团队联合Black Duck为容器安全保驾护航的相关文章

红帽团队联合 Black Duck 为容器安全保驾护航

[编者的话]Black Duck Software将其Black Duck Hub分析工具集成到红帽的PaaS产品中,将致力于容器安全检测. Black Duck Software,一个对开源代码库扫描和已知软件漏洞检测的软件开发公司,正与红帽公司一起把Black Duck Hub分析工具集成到红帽的OpenShift PaaS产品. 开源在企业中的不断增长,随之而来还需要明白一件事情,开源并不意味着没有漏洞. 据 Red Hat 和 Black Duck 消息,在合作的第一阶段包括扫描使用Op

红帽团队与Black Duck一起让容器更安全

本文讲的是红帽团队与Black Duck一起让容器更安全,[编者的话]Black Duck Software将其Black Duck Hub分析工具集成到红帽的PaaS产品中,将致力于容器安全检测. Black Duck Software,一个对开源代码库扫描和已知软件漏洞检测的软件开发公司,正与红帽公司一起把Black Duck Hub分析​​工具集成到红帽的OpenShift PaaS产品. 开源在企业中的不断增长,随之而来还需要明白一件事情,开源并不意味着没有漏洞. 据Red Hat和Bl

基于开源程序漏洞的攻击在2017年将增长20%

现在,无论是商业软件还是程序员自行开发的小程序,开源代码已经变得越来越普遍了,而开源似乎也已经成为了一种趋势.但需要注意的是,Black Duck软件公司的研究人员根据他们对开源项目所收集到的统计数据预测到,基于开源软件漏洞的网络攻击活动数量在2017年将增长20%. Black Duck软件公司的安全策略副总裁Mike Pittenger表示,商业软件项目的免费版本数量已经超过了50%甚至更多,而开源软件产品所占比重从2011年的3%增长到了现在的33%.平均每一款商业软件都会使用超过100个

国内开源社区软件 PHPWind 团队已解散

2月11日消息 近日有消息称,国内开源社区软件phpwind团队已解散. 公开资料显示,phpwind简称PW,是一个基于PHP和MySQL的论坛程序.其前身是ofstar,发布于2004年.2008年5月phpwind加入阿里巴巴集团,2009年12月确认被阿里巴巴集团收购,截至2013年12月,phpwind项目品牌由阿里云计算有限公司拥有,软件全面开源免费. 近期,站长圈有消息称,phpwind团队已解散.业内人士卢松松表示,phpwind被阿里收购后,曾组建新团队重新开发了软件,后因用户

阿里宣布Atlas开源,提升大规模团队移动开发效率

继 Weex 之后,阿里在移动技术领域又有开源大动作. 3月13日,手机淘宝安卓客户端容器化框架 Atlas 正式宣布开源.Atlas 由阿里巴巴移动团队自研,以容器化思路解决大规模团队协作问题,实现并行开发.快速迭代和动态部署,适用于 Android 4.x 以上系统版本的大小型 App 开发. Atlas 适用于大规模团队的协同开发.通过提供组件化.动态性.解耦化的支持,Atlas 能够实现每个业务在开发阶段独立编译.独立调试.独立运行,最后再以一个组件的形式集成到客户端中,每个业务之间并行

网秦国际团队联合“军演”推新品

网秦国际团队联合"军演"推新品 &http://www.aliyun.com/zixun/aggregation/37954.html">nbsp; 9月11日,新版网秦安全6.6在GooglePlay率先上市,拉响了此次联合作战的序幕.9月16日,将会全面上线,给世界6亿手机用户免费提供下载,保卫他们的隐私空间,给他们带来安全感. 网秦这款产品与以往产品最大不同的,就是整合了网秦以前产品的强力优势,由三星Galaxy之父奥马尔·汗先生亲自操刀.和网秦国际团队共

阿里宣布 Atlas 开源,提升大规模团队移动开发效率

继 Weex 之后,阿里在移动技术领域又有开源大动作. 3月13日,手机淘宝安卓客户端容器化框架 Atlas 正式宣布开源.Atlas 由阿里巴巴移动团队自研,以容器化思路解决大规模团队协作问题,实现并行开发.快速迭代和动态部署,适用于 Android 4.x 以上系统版本的大小型 App 开发. Atlas 适用于大规模团队的协同开发.通过提供组件化.动态性.解耦化的支持,Atlas 能够实现每个业务在开发阶段独立编译.独立调试.独立运行,最后再以一个组件的形式集成到客户端中,每个业务之间并行

看CoreOS的联合创始人如何谈论容器,Rocket 以及 Docker

本文讲的是看CoreOS的联合创始人如何谈论容器,Rocket 以及 Docker,[编者的话]Alex Povil是CoreOS的CEO和联合创始人,本文是Linux.com对Povel的一个访谈记录.在访谈中,Povil谈到了他们创建CoreOS的初衷是基于安全性的考虑,为了使系统变得更加安全,他们使用容器技术构建了CoreOS,以此让操作系统和应用程序相分离.此外,CoreOS对于容器技术也进行了更深入的思考和布局,他们发布了App Container Spec制定了容器的实现规范,而Ro

红帽进一步完善其企业级Linux容器解决方案

日前,红帽公司宣布推出全面的企业级Linux容器解决方案.红帽的容器产品系列涵盖几乎每项应用交付需求,包括免费开发工具以及整合管理.平台即服务(PaaS)和容器即服务(CaaS)的综合容器平台.为了满足客户在现有IT投资和创新方面的现代化要求,红帽现在使客户能够通过更安全.可移植且一致的基于容器的解决方案,并且支持关键的开放标准,例如开放容器计划(OCI)容器格式和Kubernetes编排,从而更好地利用容器化带来的全面好处. KeyBank DevOps总监John Rzeszotarski