Tidelift heeft nieuwe mogelijkheden toegevoegd aan de Tidelift Subscription. Met dit pakket kunnen organisaties de veiligheid van open-source software inschatten. Dankzij duizenden samenwerkingen met open-source projecten draagt het bedrijf bij aan de betrouwbaarheid van IT-omgevingen.
Tidelift heeft een vrij vanzelfsprekende methode om open-source projecten te motiveren om veilige standaarden na te leven. Tegen betaling garanderen de ontwikkelaars namelijk tegenover Tidelift dat ze werken volgens de NIST Secure Software Development Framework en het OpenSSF Scorecards-project. Ook analyseert Tidelift data van upstream package managers en source repositories, waarbij abonnees van de Subscription-dienst ook een Software Bill of Materials ontvangen. Dit bevat ook informatie over de veiligheid van open-source componenten in het softwarepakket; zo zorgt Tidelift ervoor dat organisaties niet onverwacht gevaar lopen.
Supply chain-bescherming
Security-risico’s kunnen van veel kanten komen voor bedrijven. Het voortdurend patchen van software en een goed overzicht van wat men in huis heeft, zijn twee vrij eenvoudige beschermingsstrategieën. Echter kunnen security-incidenten steeds lastiger te traceren zijn: zo kan een ‘fourth party‘ die componenten levert aan externe software voor problemen zorgen. De rol die open-source hierin speelt, valt niet te onderschatten. VP of Product bij Tidelift Lauren Hanford benadrukt dat de overgrote meerderheid van programmeercode open-source is bij bedrijven. “Tidelift is het enige bedrijf dat proactief werkt met de onderhouders van open-source en ze betaalt om te garanderen dat hun packages voldoen aan nieuwe security-standaarden, zoals die gecodificeerd zijn door de overheid en de industrie.”
Tidelift heeft het verzamelen van alle data geautomatiseerd en biedt API’s om de gestructureerde data in te bouwen in bestaande workflows en BI-tools. De analyse van upstream-data wordt wel door mensen gedaan, die inzichten kunnen geven aan klanten over het totale pakket aan data. Een gestandaardiseerde ‘attestations report’ kan als bewijs gebruikt worden om aan te tonen dat alle open-source dependencies binnen een organisatie best practices volgen. Attestations voor componenten kunnen dynamisch worden bijgehouden zodat eventuele kwetsbaarheden zichtbaar blijven.
Europese wetgeving
Het bijhouden van supply chain-security is altijd nodig, maar binnen de Europese Unie zou dit binnenkort ook juridisch belangrijker kunnen worden. In april ontstond er ophef over wetgeving die bij de EU op tafel ligt. De Cyber Resilience Act zou open-source programmeren in gevaar brengen, aldus Deb Nicholson destijds, het hoofd van de Python Software Foundation. Omdat softwarebedrijven volgens het wetsvoorstel verantwoordelijk gehouden worden voor security-gevaren in hun producten, kunnen open-source ontwikkelaars in de problemen komen. Dit terwijl men niet kan controleren wie gebruikmaakt van de beschikbaar gestelde code en er niet geld mee verdient.
Met andere woorden: een partij als Tidelift kan nog aantrekkelijker worden voor Europese spelers in de toekomst. Beslissingen rondom de inzet van open-source componenten kunnen dankzij dit bedrijf eenvoudiger gemaakt worden.
Beluister ook onze recente podcast over de stand van zaken rond prominente open-source software:
1 dag geleden
