Interview mit Patrick Carey von Black Duck
Pro-Linux führte ein Interview mit Patrick Carey, Vizepräsident des Produkt-Marketing für Black Duck. Black Duck startete mit einer Software-Inventarisierung, die die Lizenz-Konformität sicherstellen soll, und verlagerte seine Tätigkeiten danach immer mehr in Richtung Sicherheitsanalysen.
Black Duck dürfte vielen langjährigen Beobachtern der Open-Source-Szene ein Begriff sein. Doch was das Unternehmen verkündete, dürfte nicht immer Freude ausgelöst haben, denn spätestens seit seiner verstärkten Hinwendung zu Sicherheitsthemen warnte Black Duck immer wieder vor Sicherheitslücken in Open-Source-Komponenten. Das sollte jedoch nicht als Angriff auf Open Source verstanden werden, sondern als durchaus berechtigte Warnung, schließlich kann keine Software, die nichttriviale Aufgaben erfüllt, ganz fehlerfrei sein. Schlimmstenfalls kann man dem Unternehmen vorwerfen, manchmal etwas zu schwarz zu malen, was als Marketing-Maßnahme aufzufassen ist, die helfen soll, die eigenen Produkte besser zu verkaufen. Unter dem Strich profitiert Open Source als Ganzes auch von Firmen wie Black Duck, denn es hilft den Kunden, freie Software effektiver und vermehrt einzusetzen. Und letzten Endes ist die Code-Qualität und Sicherheit freier Software um ein Vielfaches besser als die der meisten proprietären Software.
Das vorliegende Interview mit Patrick Carey, Vizepräsident des Produkt-Marketing für Black Duck, dürfte einige aufschlussreiche Antworten liefern. Zunächst wird Black Duck und sein Tätigkeitsfeld vorgestellt. Nachdem Synopsys Ende letzten Jahres das Unternehmen gekauft hat, lautet der offizielle Name nun »Black Duck by Synopsys«, Black Duck bleibt aber offenbar weitgehend eigenständig. Das stark gewachsene Unternehmen sucht ständig weiter nach neuen Mitarbeitern, die entweder mit Daten- und Sicherheitsanalysen oder mit Data Mining, maschinellem Lernen und Sprachverarbeitung vertraut sein sollten. Ferner gibt Carey noch Auskunft zu OpsSight, einem Produkt zur Überwachung von Containern, und den frei verfügbaren Daten auf OpenHub, das Daten und Statistiken zu tausenden von Open-Source-Projekten sammelt. Die Fragen stellte Hans-Joachim Baader.
){kind=small}
Patrick Carey
Patrick Carey
PL: Was ist Black Duck und womit beschäftigt sich das Unternehmen?
Carey: Die Software-Entwicklung macht weitreichende Änderungen durch, einschließlich der schnellen und weit verbreiteten Nutzung von Open-Source-Software (OSS), die in heutigen Anwendungen 60% oder mehr des Codes ausmacht. während die Verwendung von Open-Source-Code die Entwicklungskosten senkt und die Zeit bis zum Markteintritt verkürzt, kommt sie oft mit signifikanten Problemen bei der Sicherheit und der Einhaltung der Lizenzbedingungen, da den meisten Unternehmen die Einsicht in die Open-Source-Software, die sie verwenden, fehlt. Black Duck by Synopsys bietet marktführende Produkte an, die den Prozess der Identifikation und der Inventarisierung von Open-Source-Code automatisiert, um bekannte Sicherheitslücken und Probleme mit der Lizenzkonformität zu entdecken. Die Software stellt auch automatisierte Alarme für alle neu gefundenen Sicherheitslücken, die den inventarisierten Quellcode betreffen, bereit.
PL: Synopsys kaufte Black Duck für 547 Millionen US-Dollar. Was hat sich durch diese Übernahme geändert und wie sieht die Zukunft für Black Duck aus?
Carey: Am 11. Dezember 2017 hat Synopsys Black Duck übernommen, um die Software-Integritäts-Abteilung zu verstärken, die Organisationen hilft, sichere Software von hoher Qualität schneller zu erstellen. Durch die Übernahme von Black Duck stellt Synopsys ein umfassendes Portfolio von Lösungen zu statischer Analyse, Software-Kombinationsanalyse und dynamischer Analyse bereit, das es den Kunden ermöglicht, Sicherheitslücken schnell zu finden und zu korrigieren, gleichgültig ob in proprietärem Code, Open-Source-Komponenten oder Anwendungsverhalten. Das Black Duck-Team ist stolz, ein Teil von Synopsys zu sein, und freut sich darauf, Organisationen zu helfen, ihre Software-Sicherheit zu verbessern, indem sie ihre Open-Source-Risiko-Verwaltung vereinfachen und automatisieren.
PL: Seit einigen Monaten scheint sich Black Duck hauptsächlich als Sicherheitsfirma zu sehen. Stellt das eine Änderung der Geschäftsausrichtung dar? Wie kam es dazu?
Carey: Im Verlauf der letzten paar Jahre haben Sicherheitsprobleme wie Heartbleed oder der Equifax-Einbruch, die große Beachtung fanden, klargemacht, dass Open Source eine kritische Rolle zukommt und was die Konsequenzen der Vernachlässigung von Sicherheitslücken in Open-Source-Komponenten sind. Um diese Probleme anzugehen, hat Black Duck by Synopsys sein Angebot zur Open-Source-Lizenzkonformität erweitert und bietet nun auch eine Open-Source-Sicherheitsanalyse an. Diese wurde von den Software-Herstellern gut angenommen und resultierte in einem gewaltigen Wachstum des Unternehmens.
