資訊中心管理
叡揚資訊、WhiteSource 攜手合作 推出開源軟體檢測與管理服務
下一篇 - 導入 Vital CRM 21 世紀不動產客情傳承不遺漏
前往目錄

叡揚資訊、WhiteSource 攜手合作 推出開源軟體檢測與管理服務

撰文 | 資料來源 iThome
WhiteSource 在全球各地已累積相當多的成功案例,包含知名銀行業者 Temenos及微軟、甲骨文等知名企業,產品功能面非常完整

創新應用科技蓬勃發展,企業大量運用各類開源軟體推出的創新應用服務, 但開源軟體漏洞多達 180,000 個以上,授權方式更高達 2,300 種, 稍有不慎便可能陷入資安與授權的風險中。叡揚資訊攜手 WhiteSource 共同推出開源軟體檢測與管理服務, 盼能協助企業解決相關問題,全力投入創新技術、產品的研發工作。

 

在人工智慧、巨量資料分析應用的驅 動下,台灣企業大量運用 Hadoop、 Dronecode、Hyperledger、Tensorflow 等開 源軟體,引發創新應用服務的風潮。根據 Gartner 公布研究報告指出,現今開源軟體是 企業發展戰略中的重要元素,有超過 65% 受 訪者使用開源軟體來加速軟體專案開發的進 度。然而,多數台灣企業在享受開源軟體帶 來的多重優點時往往忽略背後隱藏的使用風 險,而讓企業陷入營運危機而不自知。


WhiteSource 通路經理 Elad Tzur 表示,多數 企業使用開源軟體時,最擔心資安、軟體 授權問題,根據統計,開源軟體漏洞多達 180,000 個以上,且授權方式更高達 2,300 種,若缺乏專業工具協助管理很容易陷入營運風險。為此,我們推出 WhiteSource 管理工 具,即是希望能協助企業解決相關問題,讓 用戶能夠在安全無虞狀況下,全心全力投入 創新技術、產品的研發工作。


叡揚資訊資安事業處處長范家禎說,綜觀現 今使用開源軟體的挑戰,多數企業無法完全 掌握所有使用中開源軟體的版權、版本,以 及軟體本身的安全性,這可能導致企業成為 駭客攻擊的目標,更有可能延伸出法律、商 業和技術風險等問題。叡揚資訊透過引進 WhiteSource 解決方案,讓台灣企業能夠在 安全無虞的狀況下,享受使用開源軟體的好 處,至今已獲得台灣眾多客戶支持與認同, 也證明我們關心及營運方向完全符合企業要 求。

08 1

 

全球吹起開源軟體風潮 唯需注意三大面向

以往受限於專業資訊人員尋覓不易,開源 軟體在台灣市場的接受度並不高,但是在 近幾年商業環境的快速變化下,已成為企 業強化競爭力的首選。在開源軟體蓬勃發 展的同時,WhiteSource 認為企業使用開源 軟體有三件事情需注意,首先是開發人員 需要了解使用開源軟體的潛在安全風險, 必須事先避免使用到高風險軟體版本,否 則將讓軟體專案陷入停擺的命運。


其次,開源軟體或專案應定期更新至最新 版本,才能享有弱點(或臭蟲)的修復報 告、安全漏洞或其他依賴開源專案之安全 性,達到協助保護產品安全的目的。然而,若企業忽略定期更新版本的重要性, 即可能造成軟體漏洞,而導致駭客組織大 舉入侵。


第三件事情則是要注意軟體的授權,因開 源軟體的授權機制相當複雜,企業若不慎 疏忽,可能會面臨未知的法律問題。Elad Tzur 解釋:「以 GPL 授權規定為例,當 企業使用以該授權的開源軟體時,便有責 任提供同一程式之原始碼,但事實上並 不會有商業組織會願意提供維繫公司營運 的應用服務程式碼。為此,我們推出的 WhiteSource,是一套功能完整的開源軟體 管理工具,企業透過此軟體即可知道組織 內部使用開源軟體的安全、品質及授權, 無須擔心發生非預期的風險。」

 

08 2

 

整合多項管理功能 可預先掌握開源風險

有別於市面上類似工具,WhiteSource 是唯一預先將開源 軟體元件的授權、安全性、品質 及管理等功能,整合為一的管理 工具,可提供用戶自動化、持續 掃描機制的線上服務。軟體本身 會自動與與後端數十個開源軟體 資料庫進行比對,協助管理人員 辨識開源軟體本身是否有弱點或 漏洞、版本更新狀況,及授權的 有效性,讓企業用戶能在最低風險下,使用各 種開源軟體。


Elad Tzur 指出,WhiteSource 最大的特色即為 發現、選擇、警示等三步驟,軟體會自動辨識 公司的軟體專案在開發過程中使用到所有開源 軟體的種類,且會與最可靠的開源軟體資料庫 進行交叉比對。完成比對之後,再自動列出每 套軟體或元件的問題報告、安全風險、授權模 式,以及多個較新的軟體版本,讓開發人員依 照需求選擇所需要的版本。最後,系統會主動 告知開源軟體的風險高低,由開發人員決定是 否要繼續使用或該用其他軟體替代,讓企業可 在軟體專案進行之前,即可預先發現開源軟體 背後隱藏的風險。


最新發表 Effective Usage Analysis 技術

降低弱點誤報機率 伴隨著全球資安事件持續延燒,企業用戶也 更關注使用開源軟體的漏洞問題,然而根據 WhiteSource 研究發現,傳統資安檢測工具透 過與開源軟體資料庫比對漏洞的掃描方式,可能導致多達 70%漏洞屬於誤判,最後將導致資 訊人員花費時間處理不重要的漏洞。為解決此 問題,WhiteSource 特別在產品中加入 Effective Usage Analysis(EUA)技術,可更有效地指出 開源軟體漏洞是否被公司內部既有程式引用, 並且會依照漏洞等級依照風險程度進行分級, 便於開發人員持續追蹤與修正。


Elad Tzur 指出,一般來說,當開源軟體漏洞 未被其他軟體使用時,就沒有立即需要處理的 急迫性,資訊人員透過 WhiteSource Effective Usage Analysis 技術協助,可優先處理急迫性較 高的漏洞問題,達到兼顧軟體開發效率與安全 的雙重目標。


截至目前為止,WhiteSource 在全球各地已 累積相當多的成功案例,包含知名銀行業者 Temenos、電信業者 LetMobile,以及微軟、甲 骨文等軟體公司,產品功能面非常完整。在數 位轉型浪潮下,台灣企業若能引進合適的開源 軟體檢測工具,將有助於確保軟體專案品質並 有效滿足市場需求。