Cómo proteger sus aplicaciones de código abierto de riesgos de terceros: entrevista con el vicepresidente de marketing de WhiteSource
Los componentes de código abierto son una parte importante del software empresarial actual, pero a menudo no se gestionan en gran medida. En esta entrevista, la vicepresidenta de marketing de WhiteSource, Maya Rotenberg, describe el alcance del problema y explica cómo WhiteSource garantiza la continuidad e integridad de la gestión del código abierto. Describa la historia detrás de la empresa: quién la fundó, qué desencadenó la idea y cómo ha crecido hasta ahora
WhiteSource comenzó en 2011. Los cofundadores fueron en realidad fundadores de una empresa anterior que se vendió a CAtechnologies. Se dieron cuenta de que no tenían forma de comprender los componentes de código abierto de sus aplicaciones. En un momento crítico del proceso de orientación, decidieron crear la primera herramienta para brindar a los equipos de ingeniería y desarrollo de software una visión integral de los componentes de código abierto.
Este es el origen de WhiteSource. Lamy, uno de los fundadores, se desempeña como director ejecutivo. También fue el primer desarrollador, responsable de ventas y marketing.
Comenzamos construyendo una tecnología que no existía antes. Fuimos la primera empresa en crear conciencia entre los equipos de desarrollo de software y utilizar ampliamente software de código abierto.
En 2011, aproximadamente entre el 40 y el 60% del código base de cualquier aplicación era de código abierto. Hoy estamos en 80. Entonces, el 80% del código de cualquier aplicación es en realidad de código abierto porque la idea es: ¿por qué reinventar la rueda? Si necesitas una pieza de tecnología que no te diferencie de tus competidores ni determine tu posicionamiento, puedes ir a GitHub y descargar lo que necesites.
Cuando hay tantos componentes de código abierto en una aplicación, es necesario que haya una manera de gestionarlos adecuadamente. Porque ahora los desarrolladores utilizan código abierto todo el tiempo, pero no se sienten responsables de los componentes. Sienten que es el trabajo de otra persona y que simplemente están usando el código de otra persona. No entienden que una vez que integran estos componentes, son suyos. Nuestras herramientas hacen que sea increíblemente fácil para los desarrolladores y administradores obtener visibilidad y control completos sobre los componentes de código abierto en sus aplicaciones. Cubrimos los aspectos de seguridad, los aspectos legales y los aspectos administrativos. PCR es su ventanilla única para todo lo relacionado con el código abierto.
Nuestro negocio ha crecido significativamente desde entonces. Nuestra empresa cuenta actualmente con 250 empleados. Tenemos una oficina principal en Tel Aviv, centrada en I+D y productos, y dos oficinas en Estados Unidos, en Boston y Nueva York, centradas en las ventas y el éxito del cliente. ¿Cuáles crees que son los principales problemas con los scripts de código abierto de terceros?
El problema principal es quién posee el código y quién es responsable de él. Como dije antes, los desarrolladores suelen ver el código abierto como un problema de otra persona. No entienden que una vez que integran el código abierto, en realidad son responsables de ello. El segundo desafío es que la comunidad de código abierto está disfrutando de mucha información, y están haciendo un gran trabajo al disfrutar de esa información, pero uno de los conceptos del código abierto es que no hay jerarquía. , no existe una jerarquía que todos deban seguir Unificar el proceso. Entonces, cuando compartes información, puedes hacerlo donde quieras. Ya sea en foros de seguridad o blogs personales, la información se distribuye en millones de fuentes de datos. Para los desarrolladores que actualmente utilizan Apache Commons, puede resultar difícil realizar un seguimiento de todos los problemas de seguridad y calidad en el proyecto de código abierto porque no existe un lugar único donde se propague toda la información.
Lo que queremos hacer es conectar a los usuarios con la comunidad de código abierto. Lo que hacemos es: agregar información de millones de fuentes de datos en la comunidad de código abierto; indexarla en una base de datos y comprender qué están usando los usuarios y luego proporcionar solo información relevante para intentar conectar la gran cantidad de información; y la actividad conecta a los usuarios al otro lado de la valla.
Cómo está impactando el COVID-19 en su negocio e industria
Ya no trabajamos en la oficina al 100 por ciento como antes. Definitivamente nuestra productividad ha mejorado significativamente desde que nos mudamos de casa a la oficina. Pero también vemos que esto es sólo una mejora temporal. Creo que hay tres desafíos principales que debemos abordar cuando se trata de trabajar desde casa.
El primer reto es conectar con el equipo. En el departamento de I+D, nuestra sala de expansión está abierta a cada equipo durante todo el día. Por lo tanto, pedimos a los desarrolladores que abran espacio para la expansión mientras trabajan, permitiéndoles interactuar con otros miembros del equipo según sea necesario. También hacemos esto en otros equipos, porque para nosotros es muy importante mantener la interacción diaria entre los miembros del equipo a pesar del distanciamiento social.
Mucha gente habla de cuánto dinero pueden ahorrar trabajando desde casa porque necesitan menos espacio de oficina, pero sabemos muy bien que si vamos a trabajar desde casa, debemos centrarnos en trabajo en equipo y cosas divertidas. Invertir más en eso les ayudará a conectarse entre sí porque todavía necesitamos esa interacción cara a cara y, si no está en nuestra rutina diaria, debemos buscarla en otra parte.
Otro desafío relacionado con la productividad es la dificultad para trazar límites claros entre el trabajo y el hogar. Lo que descubrimos fue que incluso en mi equipo la gente trabajaba sin parar. Esto puede ser algo bueno para la dirección al principio, pero es muy malo para todos, tanto para los empleados como para la dirección, porque afecta la calidad del trabajo. Nadie puede trabajar 18 horas al día como un robot, ni debemos esperar que nuestros empleados hagan lo mismo. A menudo hablamos con los empleados sobre la posibilidad de tomarse un tiempo libre e identificamos momentos en los que no van al trabajo o a las reuniones porque están demasiado motivados y no saben cuándo parar. Por lo tanto, los directivos deben estar muy atentos a esto. Otro gran desafío es la incorporación. Todavía estamos contratando. Tenemos vacantes en marketing, productos, I+D y estrategia. Afortunadamente, la pandemia de coronavirus de 2019 no ha afectado a la industria de la seguridad tanto como a otros sectores verticales de la industria, pero contratar nuevos empleados a nivel nacional es casi imposible. Hemos estado trabajando arduamente para encontrar un equilibrio entre horarios de oficina seguros y distanciamiento social mientras trabajamos desde casa. Todavía estamos trabajando en ello y definitivamente es un desafío difícil. Dada la situación actual en la que las personas trabajan desde casa y dependen de herramientas de terceros para realizar su trabajo, ¿qué factores deben considerar los equipos y las organizaciones al implementar sus herramientas?
Esta es una gran pregunta porque hasta ahora , las personas solo han considerado cuando se trata de seguridad, consideran trabajar de forma remota, pero nadie considera que estarán trabajando en la misma red mientras sus hijos juegan Minecraft y sus cónyuges están de compras. Esto crea otro problema.
Debido a que estamos en el negocio de la seguridad de aplicaciones, la seguridad general de la red y de los terminales no nos afecta. WhiteSource es una herramienta de seguridad automatizada que debe integrar en su canal de DevOps y ejecutarse continuamente. El valor añadido que aporta es su capacidad de funcionar de forma continua y proporcionar visibilidad cuando trabajas desde casa.
Sé que los gerentes (especialmente los de más edad) valoran más la visibilidad ahora porque no tienen que pasar por discusiones interminables para descubrir cómo resolver un problema, pueden simplemente mirar un panel y tener una comprensión clara de dónde se encuentra. Creo que es por eso que hemos visto que las herramientas GitOps ganan cada vez más reconocimiento últimamente. 2 ¿Qué tendencias o tecnologías recientes crees que son particularmente interesantes?
Como mencioné anteriormente, GitOps es un campo muy interesante porque proporciona a los gerentes de desarrollo de software diferentes niveles de visibilidad de sus equipos. aumentar realmente su productividad. Después de todo, el desafío número uno en el desarrollo de software es cumplir con estos plazos de implementación en el mercado tan ajustados. La productividad es un gran problema y creo que las herramientas GitOps brindan a los gerentes un nuevo conjunto de características que aumentan la productividad, porque cuando sabes dónde están los cuellos de botella, es mucho más fácil resolver el problema.
La siguiente tendencia interesante es la integración de herramientas de seguridad automatizadas.
Cada vez más personas están empezando a darse cuenta del poder de la automatización, y la automatización es la ejecución frecuente y continua de tareas. Si no tiene a alguien que realice pruebas con regularidad, no conocerá sus tendencias, rendimiento y estado. Creo que las pruebas automatizadas finalmente están obteniendo el reconocimiento que merecen. ¿Cuál cree que será el futuro de la industria de la ciberseguridad?
Definitivamente nos veo creciendo y expandiéndonos a nuevas verticales. Después de todo, la adopción de tecnología de código abierto ha llegado a un punto de inflexión. Aunque sigue creciendo, se ha convertido en un componente importante de las aplicaciones de software. Estoy seguro de que nuestro alcance se ampliará más allá de la seguridad y las licencias de código abierto, con un objetivo en mente: ayudar a los equipos de desarrollo de software a proteger mejor sus aplicaciones sin comprometer su flexibilidad.