מגדל הטמיעה מערכת ניהול אבטחת קוד פתוח של WhiteSource

חברת הביטוח מגדל סיימה באחרונה פרויקט להטמעת מערכת מבית WhiteSource הישראלית, שמשווקת NessPRO, קבוצת מוצרי התוכנה של נס, לאכיפת מדיניות ארגונית של שימוש בספריות קוד פתוח. היקף העסקה עומד על מאות אלפי שקלים.

WhiteSource מכסה שלושה אספקטים מרכזיים בתחום הקוד הפתוח: אבטחת תוכנה – התראות על סיכוני אבטחה ומניעת חשיפה לפרצות; איכות הספרייה – מידע על איכות וטיב ספריית הקוד הפתוח לצורך הגנה מפני תקיפות סייבר של שרשרת האספקה (Software supply chain attack); ורישוי – מידע על אופן השימוש ברישיונות הקוד הפתוח, בדמות גרסאות, דו"חות וכדומה.

ב-NessPRO אומרים שהיא תאפשר למפתחים, לאנשי אבטחת המידע ולמנהלי הקומפליינס במגדל לאבטח ולנהל בקלות את רכיבי הקוד הפתוח בתוכנה שהם מפתחים. הפלטפורמה מהווה One stop shop לכל הקשור לקוד פתוח, ללא קשר לסביבה או לשפה. מדובר במערכת חוצת ארגון, שמקיפה את צוותי אבטחת המידע, הפיתוח, ה-DevOps, הרגולציה, ניהול הסיכונים, הצוות המשפטי וכן את ההנהלה.

עוד נמסר מהחברה כי WhiteSource מסייעת לארגונים למקסם את יתרונות הקוד הפתוח מבלי להתפשר על אבטחה, איכות ומהירות הפיתוח. היא כוללת מנגנון הגדרת מדיניות ארגונית, המאפשרת הגדרת זרימת עבודה (Workflow) של אישורים לכל הכנסת ספרייה לארגון, תמיכה במעל 200 שפות פיתוח, 30 Package Managers, והטמעה פשוטה ומהירה. המערכת משתלבת בתהליך הפיתוח ומאפשרת זיהוי מוקדם של בעיות, כבר בשלב הורדת הספרייה. היא כוללת מנגנון שמתעדף טיפול בחולשות שהארגון מושפע מהן. כמו כן, המערכת מצוידת במנגנון דו"חות, שמספק מידע משמעותי כגון דו"ח Due Diligence, שמופק בדרך כלל בעת רכישה של חברה ומפרט את מקורות השימוש בקוד פתוח, המערכות, הסיכונים והזכויות, ודו"ח סיכון, שנותן תמונת מצב כללית של הקוד הפתוח בארגון עם תמצית המשמעויות של זה מבחינה משפטית.

"השאלה היא כבר לא האם להשתמש בקוד פתוח, אלא איך לנהל אותו"

"בחרנו ב-WhiteSource לאחר תהליך ארוך של בדיקת הפתרונות השונים בשוק", אמר ולדימיר אומן, ראש צוות תשתיות לפיתוח במגדל. "בקצב המהיר שבו מתבצע בימינו פיתוח תוכנה, השאלה היא כבר מזמן לא האם להשתמש בקוד פתוח, אלא באיזו מדיניות יש לנקוט ובאילו פתרונות להשתמש כדי לנהל את הקוד הפתוח בצורה מיטבית. ככל שקהילת הקוד הפתוח גדלה ומספר פרצות האבטחה ברכיבי האופן סורס עולה אף הוא, צוות הפיתוח כבר לא מסוגל לנהל מעקב ידני אחרי התראות אבטחה ברכיבים הללו ולוודא קיום הדרישות של רישיונות קוד פתוח. WhiteSource מספקת לנו מעטפת שמתאימה לצרכי הארגון, תוך אבטחת יישומי התוכנה שלנו, מבלי לפגוע במהירות של פיתוח התוכנה או בביצועיה".

"המודעות לאבטחה ולהשלכות של שימוש לא מבוקר בקוד פתוח בתהליך הפיתוח הולכת וגדלה", ציין משה מוזס, מנהל קו מוצרים בחטיבת הניהול הארגוני והסייבר (Enterprise Management & Cyber) ב-NessPRO. "באמצעות הטכנולוגיה שפיתחה WhiteSource יכול הארגון לקצר תהליכי פיתוח, תוך שימוש במוצרים של ספקיות קוד פתוח איכותיות. הטכנולוגיה שלה יודעת לזהות היכן נעשה שימוש בקוד פתוח, מטפלת באבטחת המידע, ועוקבת אחר תנאי השימוש והרישוי. היא מאפשרת לחברה ליישם את המדיניות הארגונית בכל הקשור לקוד פתוח, תוך אוטומציה מלאה – החל מזיהוי רכיבי קוד בעייתיים, דרך התראות בתחום האבטחה ועד לניתוח סיכונים הנובעים מרישוי ואכיפה של מדיניות. בנוסף, WhiteSource מאפשרת חשיפת בעיות בשלב מוקדם".