Seit über 15 Jahren genießt Black Duck das Vertrauen der Branche als Due-Diligence-Lösung für M&A sowie interne Compliance in Sachen Open Source. Wenn es auf Schnelligkeit und Präzision ankommt, vertrauen Hightech-Unternehmen, Startups, Private-Equity-Gesellschaften (PEG) und Rechtsberater auf die Open-Source-, Sicherheits-, Qualitäts- und Compliance-Audits von Black Duck.

Verborgene Sicherheitslücken aufdecken

Bei Transaktionen im Rahmen von Fusionen und Akquisitionen (M&A) spielt der Code und dessen Inhalt eine große Rolle. Unentdeckter Open-Source-Code in Anwendungen kann zu kostspieligen Lizenzverstößen führen. In Kombination mit Sicherheitslücken in proprietärer Software, Software von Drittanbietern und Open Source, kann dies den Wert Ihrer Software Assts stark beeinträchtigen.

Schnelle Ergebnisse. Gründliche Analysen. Kompromissloser Rückhalt.

Egal, auf welcher Seite einer Übernahme Sie stehen, Sie benötigen schnelle, vertrauenswürdige und umfassende Software-Audits, um Risiken zu mindern.

Software-Audits von Black Duck versorgen Sie mit den nötigen Informationen, um ein breites Spektrum an Risiken in Ihrer Software oder Software, welche Sie akquirieren möchten, zu analysieren. Verschaffen Sie sich für eine fundierte Entscheidung einen Überblick über Lizenzverpflichtungen Ihrer Open-Source-Software, Anwendungssicherheit und Code-Qualitätsrisiken.

 

Kostenlose Beratung für Ihre Audits 

Rufen Sie uns an
+1 781 425 4444
oder füllen Sie das nachfolgende Formular aus, um unseren Experten zu kontaktieren.

250 / 250

Audit der Lizenz-Compliance

Audits von Open-Source- und Drittanbieter-Code

Audits von Open-Source- und Drittanbieter-Code nutzen die Black Duck KnowledgeBase™. Diese stellt eine vollständige Bestandsliste Ihres Open-Source-Codes für die Codebasis mit allen Open-Source-Komponenten und verbundenen Lizenzverpflichtungen und Konfliktanalysen bereit.

Risikobewertung Ihres Open-Source-Codes

Diese Bewertung beruht auf den Audits von Open-Source- und Drittanbieter-Code und bietet eine erweiterte Ansicht der Open-Source-Risiken in der Codebasis mit bekannten Sicherheitslücken und Wartungsrisiken. Genutzt werden Enhanced Vulnerability Data von Black Duck, die in der National Vulnerability Database (NVD) nicht verzeichnet sind. Die Bewertung kann als übergeordneter Maßnahmenplan zur Priorisierung von Recherche- und Korrekturmaßnahmen dienen.

Audit von Web-Services und API-Risiken

Diese Prüfung listet die externen Web-Services einer Anwendung auf und liefert Erkenntnisse über potenzielle Rechts- und Datenschutzrisiken. Anhand des zusammenfassenden Berichts können Sie Risiken von Web-Services hinsichtlich dreier Schlüsselkategorien schnell bewerten: Governance, Datenschutz und Qualität.

Mehr erfahren

 

Risikobewertung zum Open-Source-Code

Audits von Penetrationstests

Audits zu Penetrationstests (Ethical Hacking) bewerten den Sicherheitsstatus einer Software, indem sie die Anwednugnen im vollständigen Betriebszustand untersuchen. Sie enthalten informative Risikoanalysen zur Umgehung von Sicherheitskontrollen (wie WAF- und Eingabeprüfung) sowie Versuche zur Zweckentfremdung von Geschäftslogik und Benutzerauthentifizierung, um zu zeigen, wie sich Hacker Zugriff verschaffen und Schaden anrichten könnten. 

Static Application Security Test Audits

Audits zu SAST vereinen automatisierte toolbasierte Scans mit einer Kontrolle von Source-Code zur systematischen Ermittlung kritischer Sicherheitslücken der Software wie SQL-Injection, Cross-Site Scripting, Buffer Overflows und den anderen OWASP Top 10.

Designanalyse von Sicherheitskontrollen

SCDA beurteilt das Design wichtiger Sicherheitskontrollen, darunter Passwortspeicherung, Identitäts- und Zugriffsmanagement, sowie die Verwendung von Kryptographie. Die Bewertung erfolgt anhand von bewährten Methoden der Branche und deckt Defizite bei der Konfiguration, Sicherheit, Verwendung und Aktivierung auf. Systemfehler bei Sicherheitskontrollen im Design der Anwendung lassen sich ganz ohne Tests oder Analysen der Anwendung oder des Codes finden.

Mehr erfahren

 

 

Audit der Codequalität

Quantitative Audits der Codequalität

Quantitative Audits zur Codequalität kombinieren statische Analysetools mit manueller Codekontrolle zur Analyse der Codequalität. Die Ergebnisse werden mit Benchmarks der Branche abgeglichen, um die Qualität, Wiederverwendbarkeit, Erweiterbarkeit und Wartbarkeit von proprietärem Code zu bewerten. Experten werten diese Ergebnisse aus und geben Empfehlungen zur Korrektur von Mängeln im Code.

Qualitative Audits der Codequalität

Qualitative Audits der Codequalität bieten eine vollständige Analyse der Prozesse oder Methoden des SDLC. Unsere Experten sprechen sich mit den wichtigsten Beteiligten ab, um Einblicke in die Codequalität und den Reifegrad der Entwicklung, einschließlich Programmierstandards, Prozesse und Tools, zu erlangen. Auf Grundlage dessen geben sie Empfehlungen zur Optimierung der Codequalität sowie zur Senkung von Entwicklungs- und Wartungskosten.

Audits von Verschlüsselungen

Hierbei werden Verschlüsselungsfunktionen in proprietären, Open-Source- und anderen Softwarekomponenten von Drittanbietern ermittelt. Regierungsbehörden können so mit den nötigen Informationen versorgt werden, um Compliance mit Exportbestimmungen sicherzustellen und Exporteinschränkungen zu vermeiden. Anhand dieser Audits lässt sich auch feststellen, ob der verwendete Verschlüsselungscode die Sicherheitsanforderungen Ihres Unternehmens erfüllt. 

 

 

Mehr über Black Duck Audits erfahren

Video

PointClickCare

PointClickCare nutzt Black Duck On-Demand von Synopsys, um die Sicherheit von Patientendaten zu gewährleisten.

Video ansehen

Video

Risikomanagement bei M&A

Die gegenwärtige Verbreitung von Open-Source-Code in Anwendungen stellt ein Risiko im M&A-Bereich dar.