A+ A A-

叡揚資訊、WhiteSource攜手合作 共同推出開源軟體檢測與管理服務

 
 
創新應用科技蓬勃發展,企業大量運用各類開源軟體推出的創新應用服務,但開源軟體漏洞多達180,000個以上,授權方式更高達2,300種,稍有不慎便可能陷入資安與授權的風險中。叡揚資訊攜手WhiteSource共同推出開源軟體檢測與管理服務,盼能協助企業解決相關問題,全力投入創新技術、產品的研發工作。
 
在人工智慧、巨量資料分析應用的驅動下,台灣企業大量運用Hadoop、Dronecode, Hyperledger、Tensorflow等開源軟體,引發創新應用服務的風潮。根據Gartner公布研究報告指出,現今開源軟體是企業發展戰略中的重要元素,有超過 65% 受訪者使用開源軟體來加速軟體專案開發的進度。然而,多數台灣企業在享受開源軟體帶來的多重優點時往往忽略背後隱藏的使用風險,而讓企業陷入營運危機而不自知。
 
WhiteSource通路經理Elad Tzur表示,多數企業使用開源軟體時,最擔心資安、軟體授權問題,根據統計,開源軟體漏洞多達180,000個以上,且授權方式更高達2,300種,若缺乏專業工具協助管理很容易陷入營運風險。為此,我們推出WhiteSource管理工具,即是希望能協助企業解決相關問題,讓用戶能夠在安全無虞狀況下,全心全力投入創新技術、產品的研發工作。
 
叡揚資訊資安事業處處長范家禎說,綜觀現今使用開源軟體的挑戰,多數企業無法掌握所有使用中開源軟體的版權、版本,以及軟體本身的安全性,這可能導致企業成為駭客攻擊的目標,更有可能延伸出法律、商業和技術風險等問題。叡揚資訊透過引進WhiteSource解決方案,讓台灣企業能夠在安全無虞的狀況下,享受使用開源軟體的好處,至今已獲得台灣眾多客戶支持與認同,也證明我們關心及營運方向完全符合企業要求。
 

全球吹起開源軟體風潮 唯需注意三大面向

 
以往受限於專業資訊人員尋覓不易,開源軟體在台灣市場的接受度並不高,但是在近幾年商業環境的快速變化下,已成為企業強化競爭力的首選。在開源軟體蓬勃發展的同時,WhiteSource認為企業使用開源軟體有三件事情需注意,首先是開發人員需要了解使用開源軟體的潛在安全風險,必須事先避免使用到高風險軟體版本,否則將讓軟體專案陷入停擺的命運。
 
其次,開源軟體或專案應定期更新至最新版本,才能享有弱點(或臭蟲)的修復報告、安全漏洞或其他依賴開源專案之安全性,達到協助保護產品安全的目的。然而,若企業忽略定期更新版本的重要性,即可能造成軟體漏洞,而導致駭客組織大舉入侵。
 
第三件事情則是要注意軟體的授權,因開源軟體的授權機制相當複雜,企業若不慎疏忽,可能會面臨未知的法律問題。Elad Tzur解釋:「以GPL授權規定為例,當企業使用以該授權的開源軟體時,便有責任提供同一程式之原始碼,但事實上並不會有商業組織會願意提供維繫公司營運的應用服務程式碼。為此,我們推出的WhiteSource ,是一套功能完整的開源軟體管理工具,企業透過此軟體即可知道組織內部使用開源軟體的安全、品質及授權,無須擔心發生非預期的風險。」
 

整合多項管理功能 可預先掌握開源風險

 
有別於市面上類似工具,WhiteSource是唯一預先將開源軟體元件的授權、安全性、品質及管理等功能,整合為一的管理工具,可提供用戶自動化、持續掃描機制的線上服務。軟體本身會自動與與後端數十個開源軟體資料庫進行比對,協助管理人員辨識開源軟體本身是否有弱點或漏洞、版本更新狀況,及授權的有效性,讓企業用戶能在最低風險下,使用各種開源軟體。
 
Elad Tzur指出,WhiteSource最大的特色即為發現、選擇、警示等三步驟,軟體會自動辨識公司的軟體專案在開發過程中使用到所有開源軟體的種類,且會與最可靠的開源軟體資料庫進行交叉比對。完成比對之後,再自動列出每套軟體或元件的問題報告、安全風險、授權模式,以及多個較新的軟體版本,讓開發人員依照需求選擇所需要的版本。最後,系統會主動告知開源軟體的風險高低,由開發人員決定是否要繼續使用或該用其他軟體替代,讓企業可在軟體專案進行之前,即可預先發現開源軟體背後隱藏的風險。
 

最新發表Effective Usage Analysis技術 降低弱點誤報機率

 
伴隨著全球資安事件持續延燒,企業用戶也更關注使用開源軟體的漏洞問題,然而根據WhiteSource研究發現,傳統資安檢測工具透過與開源軟體資料庫比對漏洞的掃描方式,可能導致多達70%漏洞屬於誤判,最後將導致資訊人員花費時間處理不重要的漏洞。為解決此問題,WhiteSource特別在產品中加入Effective Usage Analysis(EUA)技術,可更有效地指出開源軟體漏洞是否被公司內部既有程式引用,並且會依照漏洞等級依照風險程度進行分級,便於開發人員持續追蹤與修正。
 
Elad Tzur指出,一般來說,當開源軟體漏洞未被其他軟體使用時,就沒有立即需要處理的急迫性,資訊人員透過WhiteSource Effective Usage Analysis技術協助,可優先處理急迫性較高的漏洞問題,達到兼顧軟體開發效率與安全的雙重目標。
 
截至目前為止,WhiteSource在全球各地已累積相當多的成功案例,包含知名銀行業者Temenos、電信業者LetMobile,以及微軟、甲骨文等軟體公司,產品功能面非常完整。在數位轉型浪潮下,台灣企業若能引進合適的開源軟體檢測工具,將有助於確保軟體專案品質並有效滿足市場需求。
 -->