红帽团队联合 Black Duck 为容器安全保驾护航

来源:开源中国社区 作者:朱高校
  

【编者的话】Black Duck Software将其Black Duck Hub分析工具集成到红帽的PaaS产品中,将致力于容器安全检测。

Black Duck Software,一个对
开源代码库扫描和已知软件漏洞检测的软件开发公司,正与红帽公司一起把Black Duck Hub分析工具集成到红帽的OpenShift PaaS产品。

开源在企业中的不断增长,随之而来还需要明白一件事情,开源并不意味着没有漏洞。

Red Hat 和 Black Duck 消息,在合作的第一阶段包括扫描使用OpenShift注册的全部容器。Black Duck Hub具有“超过10万著名的开源漏洞详细资料涵盖超过 3500 亿行代码”,并且新的漏洞会不断添加到Black Duck Hub。

由于扫描过程的重点是组件而不是整个应用程序,所以它会分析容器的内容,无论它们是第三方应用程序还是通过开源组件内部创建的。

对容器安全漏洞的问题一直被社区议论纷纷。容器是不可变的,这意味着在生产使用时,其中的软件不被改变。但是这也意味着该软件的任何缺陷也会保持不变,除非对容器手动更新。这个问题会变的进一步复杂,如果容器因再现性而
故意不更新。Black Duck Hub 可以对在需要继续使用的老软件存在的漏洞提供进一步了解。

Black Duck 的开源工具最初的设计是
审核企业是否无意中在他们的项目中使用违反开源许可的代码。许可合规功能依然是Black Duck Hub的一部分, 但安全和漏洞扫描现在可以说是更受企业的关注。对许可的讨论只会在开源应用程序转化为公共使用时有影响,但是理论上讲漏洞会影响任何应用程序,无论公用还是私用。

原文链接:
Red Hat teams with Black Duck to keep containers secure(翻译:朱高校)


时间:2015-10-22 08:13 来源:开源中国社区 作者:朱高校 原文链接

好文,顶一下
(0)
0%
文章真差,踩一下
(0)
0%
------分隔线----------------------------


把开源带在你的身边-精美linux小纪念品
无觅相关文章插件,快速提升流量