概述
Black Duck提供了全面的軟件組成分析(SCA)解決方案,用于管理由于在應(yīng)用程序和容器中使用開源和第三方代碼而帶來的安全性,質(zhì)量和許
可證合規(guī)性風(fēng)險(xiǎn)。Black Duck為您提供了無與倫比的第三方代碼可視性,使您可以在整個(gè)軟件供應(yīng)鏈和整個(gè)應(yīng)用程序生命周期中對(duì)其進(jìn)行控制。
使用Black Duck管理開源風(fēng)險(xiǎn)
Black Duck軟件成分分析將一流的解決方案結(jié)合了通用的開源風(fēng)險(xiǎn)管理和深度二進(jìn)制檢查。Black Duck為開發(fā),運(yùn)營,采購和安全團(tuán)隊(duì)提供了所
需的工具,以最大程度地降低開源軟件和其他第三方軟件的安全性,合規(guī)性和代碼質(zhì)量風(fēng)險(xiǎn),同時(shí)仍能實(shí)現(xiàn)其帶來的好處。
發(fā)現(xiàn)
在代碼,二進(jìn)制文件和容器中標(biāo)識(shí)開源
檢測(cè)部分和修改后的組件
通過DevOps集成自動(dòng)掃描
保護(hù)
將組件映射到已知漏洞
識(shí)別許可證和組件質(zhì)量風(fēng)險(xiǎn)
監(jiān)視開發(fā)和生產(chǎn)中的新漏洞
管理
設(shè)置并實(shí)施開源使用和安全策略
通過DevOps集成自動(dòng)執(zhí)行策略
確定和跟蹤補(bǔ)救活動(dòng)的優(yōu)先級(jí)
黑鴨技術(shù)
不是全部 開源安全解決方案的創(chuàng)建是平等的。黑鴨以行業(yè)領(lǐng)先的技術(shù)為基礎(chǔ),可確保您在軟件中獲得最完整,最準(zhǔn)確的開源風(fēng)險(xiǎn)視圖。
多因素開源檢測(cè)
超越依賴掃描的多因素發(fā)現(xiàn)
檢測(cè)未聲明,已修改甚至部分開源的組件
全面的開源發(fā)現(xiàn),無論是否可以訪問源代碼
增強(qiáng)的漏洞數(shù)據(jù)
包含我們獨(dú)立研究的黑鴨安全公告(BDSA)
豐富的漏洞數(shù)據(jù),比NVD更快,更周,更快速
根據(jù)關(guān)鍵業(yè)務(wù)需求自動(dòng)確定修復(fù)工作的優(yōu)先級(jí)
端到端DevOps集成
在應(yīng)用程序生命周期的每個(gè)階段管理開源風(fēng)險(xiǎn)
一次定義開源使用政策,并自動(dòng)發(fā)出警報(bào)并執(zhí)行
直接在IDE中進(jìn)行編碼時(shí)訪問BDSA漏洞
綜合知識(shí)庫
Black Duck KnowledgeBase是開源信息的權(quán)威來源
從超過20,000個(gè)全球站點(diǎn)和偽造站點(diǎn)連續(xù)進(jìn)行自動(dòng)數(shù)據(jù)收集
由Black Duck的專家團(tuán)隊(duì)策劃和驗(yàn)證
我們是2019 Forrester Wave中軟件組成分析的領(lǐng)導(dǎo)者
在開發(fā)過程中管理開源
借助Black Duck軟件的成分分析,您可以在應(yīng)用程序的源代碼中識(shí)別和跟蹤開源組件,并監(jiān)視可能使其面臨風(fēng)險(xiǎn)的新漏洞和現(xiàn)有漏洞。
使用多因素開源檢測(cè)來清點(diǎn)正在使用的開源。
標(biāo)識(shí)聲明的組件,唯一的哈希簽名以及在構(gòu)建過程中解決的依賴關(guān)系。跟蹤應(yīng)用程序中包含的所有第三方組件,許可證和版本。
映射物料清單(BOM)。
將您的BOM映射到最大的開源項(xiàng)目,漏洞和許可證數(shù)據(jù)的KnowledgeBase™。根據(jù)相關(guān)的風(fēng)險(xiǎn)指標(biāo)和可行的補(bǔ)救指南做出明智的決定。
在編碼時(shí)管理風(fēng)險(xiǎn)。
隨著 Code Sight IDE插件,開發(fā)人員在編寫代碼時(shí)具有查找和修復(fù)問題所需的信息。訪問詳細(xì)的漏洞描述,修復(fù)指南,許可證信
息以及潛在的違反策略的行為,因此您可以在不中斷工作或離開IDE的情況下解決問題。
深入了解漏洞。
從網(wǎng)絡(luò)安全研究中心(CyRC)訪問詳細(xì)的專有安全風(fēng)險(xiǎn)見解 。在將新漏洞發(fā)布到NVD之前的三周內(nèi),您會(huì)收到有關(guān)新漏洞的通知,從而減少了暴露的機(jī)會(huì)。
隨著威脅的發(fā)展,維護(hù)安全性。
自動(dòng)接收有關(guān)BOM表中組件和依賴項(xiàng)中新發(fā)現(xiàn)的漏洞的警報(bào)。
在采購過程中管理開源
借助Black Duck Binary Analysis,您可以快速輕松地分析系統(tǒng)和軟件,以識(shí)別軟件供應(yīng)鏈中的薄弱環(huán)節(jié),而這些工作都無需源代碼。
數(shù)分鐘內(nèi)即可掃描幾乎所有軟件或固件。
這包括臺(tái)式機(jī)和移動(dòng)應(yīng)用程序,嵌入式系統(tǒng)固件,虛擬設(shè)備等。
無需源代碼即可進(jìn)行分析。
只需上傳您要評(píng)估的軟件,Black Duck即可在數(shù)分鐘內(nèi)進(jìn)行全面的二進(jìn)制分析。
獲取全面 的物料清單 (BoM)。
識(shí)別并分類所有第三方軟件組件和許可證。
做出有關(guān)軟件使用情況的明智決定。
降低安全風(fēng)險(xiǎn)和許可證違規(guī)的威脅。識(shí)別已知的開源漏洞,許可義務(wù),敏感數(shù)據(jù)泄漏的來源以及應(yīng)用程序許可要求。
隨著威脅的發(fā)展,維護(hù)安全性。
自動(dòng)接收有關(guān)先前掃描的軟件中新發(fā)現(xiàn)的漏洞的警報(bào)。
管理并購過程中的軟件風(fēng)險(xiǎn)
借助Black Duck Audits,您可以全面了解所獲取代碼庫中的許可證,質(zhì)量和安全風(fēng)險(xiǎn)。
清點(diǎn)和分析開源并制定修復(fù)計(jì)劃。
在代碼中獲取開源組件的全面材料清單(BOM),其許可義務(wù)以及相關(guān)的安全漏洞。獲取有關(guān)修復(fù)的建議,以納入您的盡職調(diào)查計(jì)劃。
評(píng)估應(yīng)用程序安全漏洞。
從應(yīng)用程序內(nèi)部和外部對(duì)應(yīng)用程序進(jìn)行測(cè)試,以發(fā)現(xiàn)潛在的可利用問題。了解潛在的安全漏洞風(fēng)險(xiǎn),并在數(shù)據(jù),IP或財(cái)務(wù)損失發(fā)生之前制定補(bǔ)救計(jì)劃。
確定高級(jí)設(shè)計(jì)和代碼質(zhì)量問題。
將定量和定性分析配對(duì)以了解代碼設(shè)計(jì)和過程質(zhì)量。設(shè)計(jì)和工藝缺陷可能會(huì)為集成工作增加時(shí)間和金錢。
掌控開源,消除風(fēng)險(xiǎn)并加速補(bǔ)救
Black Duck使用全面的工具包為您的應(yīng)用程序開發(fā),部署和采購計(jì)劃提供支持,以識(shí)別和補(bǔ)救開源安全性,許可證和
操作風(fēng)險(xiǎn)。使用具有 洞察力的漏洞修復(fù)和風(fēng)險(xiǎn)緩解指南,完整的開源許可證合規(guī)性數(shù)據(jù),Black Duck獨(dú)家安全公告以
及有效的策略控制來主動(dòng)消除風(fēng)險(xiǎn)。