开源组件是当今商业软件的一个重要组成部分,通常在很大程度上缺乏管理。在这次采访中,WhiteSource营销副总裁Maya Rotenberg描述了这个问题的范围,并解释了WhiteSource如何保证开源管理的连续性和完整性。请描述公司背后的故事:是谁创立的,是什么激发了这个想法,以及到目前为止它是如何发展的
WhiteSource始于2011年。联合创始人实际上是前一家被出售给CA technologies的公司的创始人。他们明白自己对应用程序中的开源组件没有可见性。在定位过程中的那些关键时刻,他们决定创建第一个工具,为工程和软件开发团队提供一种全面了解开源组件的方法。
WhiteSource就是这样开始的。创始人之一拉米担任首席执行官。他也是第一个开发、销售和营销人员。
我们首先建立了一种以前不存在的技术。我们是第一家在大量使用开源软件的软件开发团队中提高认识的公司。
早在2011年,任何应用程序的基础代码中大约有40%到60%是开源的。今天,我们已经达到了80%左右。因此,任何应用程序中80%的行实际上都是开源的,因为人们的心态就是为什么要重新发明轮子?如果你需要一些东西,而这不是一种能让你与竞争对手区分开来的技术,也不能定义你是谁,你可以去GitHub下载你需要的任何东西。
当应用程序中有那么多开源组件时,需要有一种方法来正确管理它。因为现在,开发人员一直在使用开放源代码,但他们觉得对这些组件不负责任。他们觉得这是别人的工作,他们只是在使用别人的代码。他们不明白一旦他们整合了它,它就是他们的。我们的工具使开发人员和管理人员能够非常简单地对其应用程序中的开源组件进行完全的可见性和控制。我们涉及安全方面、法律方面和管理方面。PCR是与开源相关的一切的一站式服务。
从那时起,我们已经有了显著的增长。我们公司目前有250名员工。我们在特拉维夫设有主要办事处,主要专注于研发和产品,在波士顿和纽约设有两个美国办事处,更专注于销售和客户成功。
您认为开源第三方脚本的主要问题是什么
主要问题是谁拥有代码,谁对代码负责。正如我之前所说,开发人员经常将开放代码称为其他人的问题。他们不明白,在他们整合开源的那一刻,他们实际上就要为此负责。第二个挑战是,开源社区正在共享大量信息,他们在共享这些信息方面做得很好,但开源的一个概念是,没有一个层次结构;没有每个人都需要遵循的统一流程。所以当你分享信息时,你可以在任何你想做的地方做。无论是在安全论坛还是个人博客上,信息都在数以百万计的数据源中传播。对于目前使用Apache Commons的开发人员来说,很难了解该开源项目中的所有安全和质量问题,因为没有一个地方会加剧所有信息。
我们想要做的实际上是连接用户和开源社区。我们通过聚合来自开源社区数百万数据源的信息来实现这一点;将其索引到一个数据库中;将其连接到用户并了解用户在使用什么;然后只提供相关信息,试图将社区中丰富的信息和活动与另一方的用户联系起来。2019冠状病毒疾病对您的企业和行业有何影响
我们不再像过去那样百分之百地做办公室工作了。一旦我们从家里搬来工作,我们确实看到了生产力的大幅提高。但我们也将其视为暂时的增长。我认为在家庭工作的过程中,我们要应对三大挑战。
第一个挑战是与团队的联系。在研发领域,我们有缩放室,可以全天为每个团队开放。因此,我们要求开发人员在工作时打开缩放空间,以便在需要时与其他团队成员进行交互。我们也在其他团队中这样做,因为尽管存在社交距离,但保持团队成员之间的日常互动对我们来说非常重要。
很多人都在谈论他们在家工作可以节省下来的钱,因为他们需要更少的办公空间,但我们非常清楚,如果我们打算在家工作,我们需要在团队建设和有趣的事情上投入更多资金,这将有助于他们相互联系,因为我们仍然需要面对面交流,如果不是在日常工作中,那么我们需要为它找其他地方。
另一个与生产力有关的挑战是,人们正在努力在工作和家庭之间划清界限。我们发现,即使在我的团队中,人们也在不停地工作。从一开始,这对管理层来说可能是件好事,但对每个人来说,无论是员工还是管理层,这都是一件非常糟糕的事情,因为这会影响工作质量。没有人能像机器人一样一天工作18小时,我们也不应该真的希望我们的员工这样做。我们一直在与员工讨论休假,并确定他们不去工作或开会的时间,因为他们的动机太高,不知道什么时候该停止。所以这是管理者需要非常警惕的事情。另一个大挑战是入职。我们仍在招聘员工。我们在市场营销、产品、研发和战略方面有空缺职位。值得庆幸的是,2019冠状病毒疾病并没有像影响其他垂直行业那样影响安全,但在家里聘用新员工几乎是不可能的。我们非常努力地在安全的办公时间和社交距离以及在家工作之间找到正确的平衡。我们还在努力,这绝对是一个严峻的挑战。
考虑到目前人们在家工作,依靠第三方工具完成工作的情况,团队和组织需要什么来实现您的工具
这是一件大事,因为到目前为止,人们都在以一种方式考虑安全问题,他们也在考虑远程工作,但没人想到他们会在同一个网络上工作,在那里,他们的孩子在玩Minecraft,他们的配偶在购物。这就产生了另一个问题。
由于我们从事应用程序安全业务,整个网络和端点安全不会影响我们。WhiteSource是一个自动化的安全工具,您需要将其集成到DevOps管道中,并且它可以连续运行。在家工作时,它带来的附加值是连续运行,并提供可见性。
我知道,现在管理者,尤其是老年人,更加重视可视性,因为他们不需要通过无休止的讨论来找出问题的解决方法,他们只需查看仪表盘,就可以准确地了解自己的立场。我认为这也是为什么我们看到GitOps工具在这些天获得了更多认可的原因。2
这些天你觉得哪些趋势或技术特别有趣
正如我刚才提到的,一个非常有趣的空间是GitOps,因为它为软件开发经理提供了对他们团队的不同级别的可见性,所以他们可以真正提高生产力。毕竟,软件开发的首要挑战是满足这些非常严格的市场部署时间。生产力是一个大问题,我认为GitOps工具为管理者提供了一套新的能力来提高生产力,因为当你知道瓶颈在哪里时,解决问题就容易多了。
下一个有趣的趋势是集成自动化安全工具。越来越多的人开始理解自动化的力量,自动化就是频繁、持续地做一些事情。你可以了解自己的趋势、表现和现状,而不需要有人定期做测试来了解自己的情况。我认为自动化测试终于得到了应有的认可。
你如何展望网络安全行业的未来
我肯定看到我们正在成长并扩展到新的垂直领域。毕竟,开源的采用已经到了临界点。尽管它仍在增长,但它已经是软件应用程序中的主要组件。我肯定地看到,我们在开源安全和开源许可之外扩展了我们的业务范围,目标只有一个:帮助软件开发团队更好地保护他们的应用程序,而不损害灵活性。