紅帽團隊與Black Duck一起讓容器更安全

【編者的話】Black Duck Software將其Black Duck Hub分析工具集成到紅帽的PaaS產品中，將致力于容器安全檢測。

Black Duck Software，一套對 開源代碼庫掃描和已知軟件漏洞檢測 的系統開發公司，正與紅帽公司一起把Black Duck Hub分析 工具集成到紅帽的OpenShift PaaS產品。

開源在企業中的不斷增長，隨之而來還需要明白一件事情，開源并不意味著沒有漏洞。

[InfoWorld推出的Bossies - 今年最好的開源產品 。我通過InfoWorld's Linux report newsletter 跟蹤開源領域最新趨勢。 ]

據 Red Hat 和Black Duck，在合作的第一階段包括掃描使用OpenShift注冊的全部容器。Black Duck Hub具有“超過10萬著名的開源漏洞詳細資料涵蓋超過3500億行代碼”，并且新的漏洞隨著被發現會不斷添加到Black Duck Hub。

由于掃描過程的重點是組件而不是整個應用程序，它會分析容器的內容，無論它們是第三方應用程序還是通過開源組件內部創建的。

對容器安全漏洞的疑慮不易消除。容器是不可變的，這意味著在生產使用時，其中的軟件不被改變。但是這也意味著該軟件的任何缺陷也會保持不變，除非對容器手動更新。這個問題會變的進一步復雜，如果容器因再現性而故意不更新。Black Duck Hub可以對在需要繼續使用的老軟件存在的漏洞提供進一步了解。

Black Duck的開源工具最初的設計是 審核 企業是否無意中在他們的項目中使用違反開源許可的代碼。 許可合規功能 依然是Black Duck Hub的一部分, 但安全和漏洞掃描現在可以說是更受企業的關注。對許可的討論只會在開源應用程序轉化為公共使用時有影響, 但是理論上講漏洞會影響任何應用程序,無論公用還是私用。

原文鏈接： Red Hat teams with Black Duck to keep containers secure （翻譯：朱高校）