Tidelift, müşterilerin açık kaynak paketleri hakkında daha bilinçli kararlar vermek ve açık kaynakla ilgili riskleri en aza indirmek için Tidelift’in bakımcı tarafından doğrulanmış verilerini kullanma yeteneğini genişleten, Tidelift Aboneliğinin bir parçası olarak geniş bir yeni yetenekler dizisini duyurdu.
Bu yeni yetenekler, Tidelift’in açık kaynak güvenliğinin iyileştirilmesi üzerinde en büyük etkiye sahip güvenli yazılım geliştirme uygulamalarını belirlemek ve ardından bu uygulamaların gelecekte de projelerinde geçerli kalmasını sağlamak için bakım sağlayıcı iş ortaklarına ödeme yapmak amacıyla yıllarca süren çalışmalarının sonucudur.
“Modern uygulamalardaki kodun büyük çoğunluğunu açık kaynak oluşturduğundan ve açık kaynağı etkileyen yakın zamanda ortaya çıkan yüksek profilli güvenlik açıkları karşısında kuruluşlar, yazılım tedarik zincirlerinin uygun şekilde muhafaza edilmesini ve güvenli olmasını sağlamak için acilen yenilikçi yollar arıyorlar. ” dedi Tidelift ürün başkan yardımcısı Lauren Hanford.
“Tidelift, paketlerinin hükümet ve endüstri tarafından yeni oluşturulan güvenlik standartlarını karşıladığını doğrulamak için açık kaynak bakımcılarıyla proaktif bir şekilde çalışan ve bu önemli iş için onlara ödeme yapan tek şirkettir. Bu, kuruluşların açık kaynak hakkında daha bilinçli kararlar almasına ve ilgili riskleri azaltmasına olanak tanırken, bağımlı oldukları yazılımın gelecekte de orada olacağına dair güvenceye sahip olmalarını sağlıyor” diye ekledi Hanford.
API erişimi de dahil olmak üzere yeni açık kaynaklı yazılım zekası özellikleri
Tidelift’in açık kaynaklı paket istihbarat verileri, Tidelift ve ücretli bakımcı ortakları tarafından araştırılıp doğrulanır ve Tidelift Aboneliği aracılığıyla edinilebilir. Tidelift, veri toplamayı otomatikleştirir, verileri düzenler ve yapılandırır ve API’lerin mevcut iş akışları ve iş zekası araçlarıyla kolayca entegre olmasını sağlar.
Kuruluşlar, Tidelift’in milyonlarca açık kaynak paketi üzerinden açık kaynak istihbarat verilerini geniş ölçekte toplama işini yapmasına izin vererek zamandan tasarruf edebilir. Bu, bireysel paketleri analiz etmek için harcadıkları zamanı azaltmalarına ve daha iyi kararları daha hızlı almalarına yardımcı olur.
Tidelift Aboneliği şunları içerir:
- Birinci taraf bakımcı kaynaklı veriler. Tidelift, en popüler binlerce açık kaynak paketinin bakımcılarıyla doğrudan iş birliği yapıyor ve NIST Güvenli Yazılım Geliştirme Çerçevesi ve OpenSSF Puan Kartları projesi gibi hükümet ve endüstri tarafından belirlenen güvenli geliştirme uygulamalarını takip ettiklerini doğrulamaları için onlara ödeme yapıyor. Bu, kuruluşlara yalnızca Tidelift Aboneliği aracılığıyla erişilebilen, birinci taraf, bakımcı kaynaklı benzersiz bilgiler sağlar.
- Otomatik, yapılandırılmış ve merkezi veriler. Tidelift, birden fazla yukarı akış paket yöneticisi ekosistemi ve kaynak deposundaki verileri merkezi ve yapılandırılmış bir formatta toplar.
- Tidelift insanlar tarafından araştırılan veriler. Müşterilerimize daha bağlamsal bilgiler sağlamak amacıyla yukarı akış verileri Tidelift veri ekibi tarafından analiz edilir ve daha fazla araştırılır.
Yeni hükümet siber güvenlik uyumluluk yetenekleri
ABD hükümeti, yazılım tedarikçilerinin, uygulamalarında kullanılan açık kaynak bileşenleri de dahil olmak üzere, NIST Güvenli Yazılım Geliştirme Çerçevesinde (SSDF) belirtilen güvenli yazılım geliştirme uygulamalarını takip ettiklerini kendilerinin beyan etmelerini zorunlu kılacak yeni bir gereklilik duyurdu.
Uyumluluk tarihleri yaklaşıyor ve uyumluluk son tarihlerini karşılamayan kuruluşlar, değerli devlet sözleşmelerini kaybetme riskiyle karşı karşıya kalabilir.
Binlerce açık kaynak paketinin arkasındaki bakımcılardan gelen birinci taraf doğrulama verilerinin tek kaynağı olan ve ABD hükümetinin NIST Güvenli Yazılım Geliştirme Çerçevesi (SSDF) standartlarıyla uyumlu olan Tidelift Aboneliği ayrıca şunları da sağlar:
- Bir kuruluşun uygulamalarındaki açık kaynak bağımlılıklarının güvenli yazılım geliştirmenin en iyi uygulamalarını takip ettiğinin kanıtı olarak kullanılacak standartlaştırılmış bir doğrulama raporu.
- Kuruluşların, ürünlerine giren açık kaynak bileşenlere ilişkin doğrulamaları dinamik olarak izlemelerine ve doğrulamaları otomatik bir şekilde güncel tutmalarına yardımcı olan bir çözüm.
Açık kaynak yönetimi ve politika uyumluluğu
Büyük ölçüde açık kaynak yazılıma güvenen ancak kuruluş genelinde paket kullanımına ilişkin görünürlük eksikliğiyle mücadele eden veya geliştirme ekiplerinin kurumsal risk parametrelerine göre değerlendirilmemiş paketleri indirip kullandığından endişe duyan kuruluşlar için Tidelift birinci sınıf bir çözüm sunmaya devam ediyor açık kaynağı yönetmek için.
Tidelift Aboneliğine dahil edilen yazılım malzeme listesi işlevi, kuruluşların, kuruluş genelinde kullanılan tüm açık kaynak bileşenlerinin merkezi bir envanterini oluşturmasına olanak tanır. Bu, güvenlik açıklarını düzeltirken güvenliği ihlal edilmiş bir paketin her sürümünün hızlı bir şekilde tanımlanmasını kolaylaştırır.
Tidelift Aboneliği sayesinde kuruluşlar, açık kaynak standartlarını tüm geliştirme ekipleri genelinde tutarlı bir şekilde uygulayabiliyor ve geliştiricilerin yalnızca güvenli yazılım geliştirme uygulamalarını takip eden onaylı açık kaynak bileşenlerini kullanmasını sağlıyor.
Tidelift daha sonra zaman içinde uyumluluğu sağlamak için kullanılan paketleri kurumsal olarak tanımlanmış açık kaynak standartlarına göre sürekli olarak değerlendirirken aynı zamanda kuruluşların dahil edilen bileşenlerin güvenlik ve bakım uygulamalarıyla ilgili iyi kararlar almasına yardımcı olmak için Tidelift’in gelişmiş veri zekası yeteneklerinden de yararlanır. yazılım malzeme listelerinde.
IDC’de DevOps ve DevSecOps araştırma başkan yardımcısı Jim Mercer, “Tidelift açık kaynak veri zekası yetenekleri gibi çözümler, açık kaynak projelerinde kullanılan güvenli yazılım geliştirme uygulamaları hakkında insan tarafından doğrulanmış veriler arayan kuruluşlar için ideal olabilir” dedi. “Bu tür içgörüler, kuruluşlara, yazılım tedarik zincirlerindeki açık kaynaklı projeler tarafından kullanılan güvenli yazılım geliştirme uygulamaları hakkında ayrıntılı ve doğrulanmış birinci taraf bilgiler sunabilir; bu da onların güvenlik duruşlarını güçlendirmelerine yardımcı olabilir ve yeni ortaya çıkan hükümet uyumluluğuna uyum sağlamalarına yardımcı olabilir. Gereksinimler.”