Программное обеспечение давно уже не пишется программистами от начала и до конца. ПО создается из готовых строительных блоков, которые располагаются в различных публичных репозитариях. Эти части вашего ПО создаются, поддерживаются и постоянно изменяются другими людьми, а доступ к этим частям имеют множество людей во всем мире.
Вот интересная статья объясняющая как Open Source меняет мир и меняется сам. https://techcrunch.com/2019/01/12/how-open-source-software-took-over-the-world/
В 60% приложений объем Open Source компонент составляет более 75%.
Есть ли в таких компонентах уязвимости? Компания Sonatype провела исследование 587 известных Open Source библиотек и выявила в них более 900 уязвимостей.
Контроль Open Source компонент становится обязательным в современных реалиях DevSecOps. У Fortify есть несколько партнеров которые обеспечивают контроль OSS и интегрируют результаты такого аудита в отчет о сканировании.
Ссылки на основных игроков в области анализа Open Source Software:
https://www.whitesourcesoftware.com/fortify-integration/
https://snyk.io/docs/fortify-software-security-center-ssc-integration-snyk-parser-plugin-overview/
https://blog.sonatype.com/micro-focus-sonatype
Вот какой то мужик рассказывает как это круто
Вот так выглядит результат анализа OSS компонент в интерфейсе Fortify. Отображается тип лицензии, релиз, тип репозитария, версия, уязвимости итд.
Кстати, контроль над типами лицензий используемого СПО, так же важен, поскольку не все лицензии позволяют использовать компоненты open source в коммерческих продуктах.
Вот пример работы интегрированного сканирования
Короче, следить какие open source библиотеки используют ваши разработчики - надо! Удобнее всего это делать в рамках процедур сканирования исходного кода, но, конечно, можно и отдельно.
PS: Есть еще варианты создания корпоративного репозитария разрешенных к использованию компонент и артефактов...но это совсем другая история.
