Maak kennis met ons end-to-end besturingssysteemplatform

Omdat ik bijna acht jaar bij ActiveState werk, heb ik veel iteraties van ons product gezien. Eén ding is echter door de jaren heen waar gebleven: onze toewijding aan de open source-gemeenschap en bedrijven die open source in hun code gebruiken.

ActiveState helpt bedrijven al meer dan tien jaar bij het beheren van open source. In de beginperiode stond open source nog in de kinderschoenen. We hebben ons vooral gericht op de ontwikkelaarscase, waarbij we hebben geholpen open source te krijgen op platforms als Windows.

In de loop van de tijd verschoof onze focus van het helpen van bedrijven bij het runnen van open source naar het ondersteunen van bedrijven die open source beheren terwijl de gemeenschap het niet produceerde op de manier waarop zij het nodig hadden. We zijn begonnen met het beheren van builds op schaal en hebben bedrijven ondersteund bij het begrijpen welke open source ze gebruiken en of dit compliant en veilig is.

Het op grote schaal beheren van open source in een grote organisatie kan complex zijn. Om bedrijven te helpen dit te overwinnen en structuur te brengen in hun open source DevSecOps-praktijk, onthullen we ons end-to-end platform om de open source-complexiteit te helpen beheren.

De huidige staat van open source en supply chain-beveiliging

Het is onvermijdelijk dat met de stijgende populariteit van open source een toevloed van beveiligingsproblemen gepaard gaat. De adoptie van open source in moderne softwareapplicaties is aanzienlijk. Ruim 90% van de applicaties bevat open source-componenten. Open source vormt nu de kern van de manier waarop we software produceren, en we zijn op een punt aangekomen waarop het de belangrijkste vector is voor slechte actoren om toegang te krijgen tot vrijwel elk stuk software.

Aanvallen zijn er altijd al geweest, maar de laatste jaren zijn er steeds meer incidenten. De pandemie bracht nieuwe kansen voor slechte actoren aan het licht. Toen mensen hun eigen thuisnetwerken en VPN’s gebruikten met minder strenge beveiligingsmaatregelen, begon dit meer risico’s met zich mee te brengen. Ondanks de terugkeer naar kantoor zijn veel IT-medewerkers nog steeds thuis, dus deze mogelijkheden bestaan ​​nog steeds.

Bovendien beschikken veel bedrijven niet over processen voor de manier waarop ze open source-software kiezen en aanschaffen, zodat ontwikkelaars deze blindelings vinden en integreren. De uitdaging is dat bedrijven dan niet weten waar de open source-code vandaan komt, wie deze heeft gebouwd en met welke bedoelingen. Dit creëert meerdere mogelijkheden voor aanvallen gedurende het hele supply chain-proces van open source-software.

Open source is een open ecosysteem, wat het ‘by design’ kwetsbaar maakt. Het moet zo open mogelijk zijn om auteurs niet te belemmeren bij te dragen, maar het is een echte uitdaging om het gedurende het hele ontwikkelingsproces veilig te houden.

Risico’s bestaan ​​niet alleen als u importeert. Als uw bouwservice niet veilig is wanneer u begint met bouwen, loopt u risico. Veel van de meest recente aanvallen die we hebben gezien, zijn aanvallen op de toeleveringsketen van open source-software en geen kwetsbaarheden. Dit vereist een geheel nieuwe benadering van open source-beveiliging.

Het open source-beheerproces opnieuw vormgeven

Bij ActiveState is het onze missie om nauwkeurigheid te brengen in de open source supply chain. Bedrijven kunnen een betere zichtbaarheid en controle krijgen over hun open source-code binnen DevSecOps door zich te concentreren op een beheercyclus van vier stappen.

Stap 1: Ontdekking

Voordat u zelfs maar kunt beginnen met het verhelpen van kwetsbaarheden, moet u weten wat u in uw code gebruikt. Het is belangrijk om een ​​inventaris op te maken van alle open source die binnen uw organisatie draait. Een artefact van deze inspanning zou op een dashboard kunnen lijken.

Stap 2: Prioritering

Zodra u het dashboard heeft, kunt u beginnen met het analyseren van kwetsbaarheden en afhankelijkheden en prioriteiten stellen waar u zich het eerst op moet concentreren. Als u begrijpt waar de risico’s zich in uw codebase bevinden en deze kunt beoordelen, kunt u weloverwogen beslissingen nemen over de volgende stappen.

Stap 3: Upgraden en beheren

Nu komt de fase van herstel en verandermanagement. U wilt bestuur en beleid instellen voor het beheer van open source in uw hele organisatie, zodat iedereen binnen de functies en teams op één lijn blijft.

U moet ook nauwlettend beheren welke afhankelijkheden worden gebruikt in zowel productie- als ontwikkelingsomgevingen om de risico’s te minimaliseren.

Op ons platform onderhouden we een grote onveranderlijke catalogus van open source software. We houden een consistente, reproduceerbare registratie bij van ongeveer 50 miljoen versiecomponenten, en we breiden deze voortdurend uit. Het helpt onze gebruikers ervoor te zorgen dat ze altijd weer reproduceerbare builds kunnen maken. Het betekent dat u het hele internet kunt beheren voor open source, terwijl u erop kunt vertrouwen dat het veilig is.

Stap 4: Bouwen en implementeren

De bouw- en implementatiefase omvat het opnemen van veilige en veilige open source-componenten in uw code – omdat u pas echt hersteld en veilig bent als de oplossingen zijn geïmplementeerd. Bij ActiveState bouwen en volgen we alles. Vanaf het moment dat we de broncode opnemen tot het moment dat we deze in een beveiligd cluster inbouwen. We geven het u vervolgens in verschillende formaten, zodat u het kunt inzetten, afhankelijk van uw behoeften. Wij zijn de enige oplossing (voor zover wij weten) die bedrijven echt helpt bij het herstellen en implementeren, waardoor de volledige levenscyclus van het garanderen van de beveiliging van de softwaretoeleveringsketen wordt voltooid.

Een nieuwe ActiveState: open source-beveiligingsproblemen rechtstreeks aanpakken

Door ons werk op het gebied van open source in de afgelopen tien jaar hebben we ontdekt dat er een kloof bestaat tussen de gepassioneerde gemeenschappen die open source produceren en de ondernemingen die het in hun software willen gebruiken. We helpen nu deze kloof te dichten, versterken het open source-ecosysteem en bieden tegelijkertijd veiligheid aan organisaties.

Het vernieuwde platform dat we hebben ontwikkeld en gericht op het faciliteren van de samenwerking tussen verschillende spelers in organisaties, waaronder ontwikkelaars, DevOps en beveiliging. Ons platform helpt teams soepel een continue cyclus van het beheer van open source uit te voeren.

Er zijn zes belangrijke gebruiksscenario’s waarop we ons richten om teams te helpen de resultaten te verbeteren.

  • Ontdekbaarheid en waarneembaarheid: Krijg volledig inzicht in alles, van open source-gebruik tot implementatielocaties.
  • Continue open source-integratie: Houd uw code up-to-date, vermijd het breken van wijzigingen en elimineer risico’s.
  • Veilig omgevingsbeheer: Zorg ervoor dat uw ontwikkel-, test- en productieomgevingen consistent en reproduceerbaar zijn.
  • Bestuur en beleidsmanagement: Onderhoud een samengestelde open source-catalogus zonder de ontwikkelingstijden te vertragen.
  • Naleving van regelgeving: Voldoe automatisch aan overheidsvoorschriften en versnel beveiligingsbeoordelingen.
  • Naast ondersteuning bij het levenseinde: Blijf stabiel en veilig, zelfs nadat systemen het einde van hun levensduur hebben bereikt

Als uw team ondersteuning kan gebruiken voor een van deze gebruiksscenario’s, kan ons nieuwe platform helpen. Ontdek vandaag nog het vernieuwde ActiveState-platform met een Platform Enterprise-proefversie.

Opmerking: Dit verhelderende artikel wordt u aangeboden door Pete Garcin, Senior Director of Product bij ActiveState, en deelt zijn expertise en unieke kijk op de zich ontwikkelende uitdagingen en oplossingen in open source-beheer.

Thijs Van der Does